スピアフィッシング(Spear Phishing)の意味
スピアフィッシングとは、通常のフィッシングと同様に、受信者をだましてアカウント情報などの機密情報を攻撃者に提供させようとする詐欺のことです。また、リンクや添付ファイルによって、受信者に気づかれずにマルウェアをダウンロードさせ、攻撃者がユーザーのコンピューターシステムやその他の機密情報にアクセスできるように仕向けることもあります。スピアフィッシングが一般的なフィッシングと異なるのは、標的型であるという点です。
スピアフィッシングのメッセージは、通常、攻撃者が受信者について見つけた公開情報に基づいてパーソナライズされています。これには、受信者の専門分野に関するトピックや、組織内の役割、関心事、公表されている住居および税金の情報、その他攻撃者がソーシャルネットワークから収集できるあらゆる情報が含まれています。これらの具体的な情報は、メールをより正当なものに見せ、受信者がリンクをクリックしたり、添付ファイルをダウンロードしたりする可能性を高めます。
スピアフィッシングの仕組み
スピアフィッシングは、フィッシングよりも標的を絞ったサイバー攻撃です。電子メールは、標的の被害者に合わせてパーソナライズされています。例えば、攻撃者は、被害者が知っている人物になりすますなど、ソーシャルエンジニアリングの技術を駆使して、被害者の信頼を得ようとすることがあります。
2019年、北朝鮮と連携したサイバー犯罪グループ「Thalium」が、50以上のウェブドメインを利用してスピアフィッシング攻撃を行ったと報告されました。Thaliumの標的は、政府職員、シンクタンク、大学職員、世界平和と人権に焦点を当てた組織のメンバー、核拡散問題に取り組む人々などでした。ほとんどのターゲットは、日本、韓国、米国に拠点を置いていました。[1] Thaliumの攻撃者は、核兵器の拡散を阻止するための努力を支援することによって、ターゲットに慕われようとしていました。
スピアフィッシングの例としては、「ウェイドさん、今年の初期の赤ワインがお好きとのことですが、ボブさんも好きなドメーヌマレフィセント(なりすまし、または侵害されたWebサイト)を訪問することをおすすめします。オンラインストアをチェックしてみてください。」このスピアフィッシングの例では、ウェイドの公開情報から彼がワイン愛好家であり、同じくワイン愛好家のボブの友人であることがわかり、なりすましメールを通じてFacebookコネクションからメールが発信された場合、非常に効果的です。
上記の例では、攻撃者はターゲットとなる被害者の興味や性格に合わせてメールをカスタマイズしていることに注目してください。このカスタマイズが、スピアフィッシングと通常のフィッシングの違いです。この差別化によって、スピアフィッシングは攻撃者にとってより時間がかかるものですが、その分非常に効果的です。
スピアフィッシングとフィッシングの違い
スピアフィッシングと通常のフィッシングには、共通点がある一方で、明確な違いもあります。どちらも標的のユーザーを騙して機密情報を流出させるという点で共通していますが、スピアフィッシングは攻撃者により多くの労力を必要とします。スピアフィッシングでは、ターゲットとなるユーザーを偵察し、理解した上で、正規の送信者からのメールであるかのように見せかけるために、十分な情報を含むメールを送らなければなりません。
まず、違いを確認するために、標準的なフィッシングについて説明します。一般的に、フィッシングキャンペーンには特定のターゲットが存在しません。例えば、攻撃者は、PayPalのロゴを使用し、PayPalの正規の担当者のような内容のメールを作成することがあります。通常、このメールにはユーザーの名前は含まれず、攻撃者は受信者がPayPalのアカウントを持っているかどうかさえ知りません。このメッセージは、標的のユーザーに返信を求めたり、悪意のあるWebサイトへのリンクをクリックさせたりするだけかもしれません。
攻撃者は、電子メールの連絡先リストに何千通ものフィッシングメールを送信する可能性があります。攻撃によっては、悪意のあるメッセージを送信するために使用されるドメイン名が、公式のものと類似している場合があります。例えば、攻撃者は「payypal.com」というドメインを登録し、送信者を公式に見せかけるかもしれません。もうひとつのフィッシング詐欺の手口は、なりすましメールを利用するものです。スプーフィング(なりすまし)とは、オープンなメールサーバーを利用して、実際にはPayPalの正規社員からのメッセージでないにもかかわらず、送信者ドメインを「paypal.com」に操作することです。DMARC(Domain-based Message Authentication Reporting and Conformance)は、なりすましメールを検知してブロックする新しいサイバーセキュリティ戦略で、受信側のメールサーバーがDMARCを使用していれば、なりすましは以前のような脅威ではありません。
メッセージの設定と受信者のリストがあれば、攻撃者は悪意のあるメッセージを送信することができます。攻撃者は、一部のメッセージが届かないことを承知しています。サイバーセキュリティフィルターが受信者のメールサーバー上で他のメッセージをブロックし、ターゲットとなるユーザーがそのメッセージがフィッシングであることに気づけば、いくつかのメッセージは自動的に削除されます。しかし、フィッシングメールを受け取り、攻撃者に機密情報を送信してしまうユーザーも存在します。攻撃者は、何十人もの受信者が被害者になることを知っているので、何千人ものユーザーを対象にしたメール配信では、特定のターゲットは必要ありません。
通常のフィッシングが少額の報酬に有効なのに対し、スピアフィッシングはより大きな報酬を得るために、よりターゲットを絞ったアプローチをとります。通常、会計士、人事担当者、経営幹部など、組織内の高権限のユーザーをターゲットにします。このような攻撃を行うには、ターゲットとなる組織についてより詳しく調査し、どのようなメッセージが効果的であるかを理解する必要があります。また、スピアフィッシングは、ソーシャルエンジニアリングと組み合わせることで、より効果的に利用することができます。
スピアフィッシングは、通常の攻撃よりもはるかに説得力のあるメッセージを使用します。例えば、CEOを名乗る攻撃者は、財務担当エグゼクティブを騙して、自分の銀行口座に送金させることができます。また、偽の請求書を使って、買掛金の担当者を騙し、攻撃者に送金させることも可能です。認証情報を盗むために、攻撃者は、IT部門が情報を求めているように見せるメッセージを作成するかもしれません。ユーザーを欺くには、受信者が知っている正当な人物からのメッセージであるかのように見せかける必要があるため、ソーシャルエンジニアリングも使用されることがあります。
スピアフィッシングは標的型攻撃であるため、メッセージを受け取るユーザーの数は少なくなります。攻撃者は組織を調査し、ターゲットとして選ばれた少数の高特権ユーザー向けのメッセージを作成します。ユーザーは、通常、組織のウェブサイトの組織図から、または偵察のためにLinkedInを使用して選ばれます。
スピアフィッシングを利用した攻撃者は、組織を騙して海外の銀行口座に数百万ドルを送金させたり、重要なネットワーク認証情報を送信させたりすることがあります。攻撃者が管理する銀行口座への送金は壊滅的な被害をもたらしますが、盗まれたネットワーク認証情報はさらに大きな被害をもたらす可能性があります。二要素認証と侵入検知システムは、フィッシング攻撃成功後の被害拡大を防ぐのに役立ちますが、脅威アクターは通常、データを盗むために他の方法を用います。ネットワークにマルウェアを注入したり、盗んだ認証情報を使ってデータ漏洩させたりすることもあります。
盗まれた認証情報により、攻撃者は発見されるまでの数ヶ月間、被害者のネットワーク上に存在し続けることができます。その間に、攻撃者は数テラバイトのデータを検出されずに流出させるかもしれません。検出された場合、組織は脅威を封じ込め、侵害の原因となった脆弱性を特定しなければなりません。
スピアフィッシングとホエーリングの違い
スピアフィッシングは特定の人を狙う攻撃ですが、「ホエーリング」とは、攻撃者が1人または数人のCレベルのエグゼクティブをターゲットにする場合を指します。Cレベルエグゼクティブとは、ネットワーク上の高権限のアカウントや財務アカウントへのアクセス権を持つエグゼクティブを指します。スピアフィッシングの被害に遭う可能性が高いのは経営幹部であるため、徹底的な偵察を行う脅威アクターにとっては有益な投機といえます。
中小企業や大企業は、脅威アクターやスピアフィッシングのターゲットになる可能性があります。また、ホエーリングでは、大規模な攻撃においてソーシャルエンジニアリングも行われます。例えば、攻撃者は、標的となるユーザーにとって脅威がより説得力のあるものになるよう、エグゼクティブと接触するパートナーと協力することがあります。Home Depot、Anthem、Target、JP Morganはすべて、ホエーリングとスピアフィッシングの標的になっています。Epsilonは、メールプロバイダを標的としたスピアフィッシング攻撃により40億ドルを失いました。その被害は甚大で、被害回復のための費用と訴訟などで、これまでで最大規模のサイバー攻撃による支払いとなりました。
スピアフィッシングの事例
スピアフィッシング攻撃の事例を提供することで、ユーザーを教育し、あなたの組織がターゲットになったときに、スピアフィッシングを特定することができます。組織が小さいから標的になりえないと決めつけないでください。攻撃者は、中小企業は大企業に比べてサイバーセキュリティのリソースが少ないことを知っているので、中小企業もターゲットになります。どのような規模の企業でも、ホエールフィッシングやスピアフィッシングの標的になる可能性があります。
脅威アクターは、成功確率を高め、ターゲットユーザーに信頼感を与えるために、しばしば有名企業の名前を使用します。PayPal、Amazon、Google、Microsoftは、スピアフィッシングで使用される4つの大規模な家庭用ブランドです。これらのブランドは、ユーザーに信頼感を与え、メール内のリンクをクリックするように騙される可能性のある数百万人の顧客を抱えています。
フィッシングのもう一つの例は、GoogleとMicrosoftを利用して、ユーザーを騙し、攻撃者の銀行口座に送金させるというものです。このメールでは、ユーザーがGoogleまたはMicrosoftからの賞金が当選し、当選金を受け取るには、ターゲットとなったユーザーが郵送費として少額の手数料を送る必要があると主張します。Gmailはこのようなメッセージのフィルタリングに優れていますが、ユーザーは迷惑メールフォルダでこのメッセージを見つけて返信してしまいます。これらのメッセージは、ビジネス環境では標的の受信者に決して届くべきではなく、迷惑メールフォルダに届く代わりに隔離されるべきです。
スピアフィッシングの事例:
- メールの送信者は、顧客を名乗り、最近購入した商品についてクレームをつけてきます。攻撃者は、標的となった従業員が認証を促される公式ページを模したWebサイトにユーザーを繋げます。
- テキストメッセージまたは電子メールにより、銀行口座が侵害されたことが通知され、認証を促すページに繋げられます。
- メール送信者は、正規のベンダーを名乗り、口座の有効期限が迫っているため、受信者はリンクをクリックして認証する必要があると伝えます。
- 特定の団体への寄付や送金を要求してくる場合は、通常、スピアフィッシングのターゲットであることを示しています。
- 請求書を支払う前に必ず検証しましょう。攻撃者は、組織を騙すために、偽のベンダーと実際のベンダーを使い分けます。
Real-World Examples
In many spear phishing attempts, the attacker targets the financial department. Attackers targeted a US network technology company named Ubiquiti Networks and managed to steal $46.7 million using spear phishing. Attackers impersonated executives and convinced the finance department to transfer money to an offshore bank account.
Being a pioneer in cybersecurity doesn’t mean you’re resistant against spear phishing. RSA security fell victim to a spear phishing attack when an employee opened an Excel spreadsheet with an embedded Adobe Flash object. The malicious Flash object took advantage of a zero-day Flash vulnerability and installed a backdoor on local computers. The backdoor gave attackers access to credentials and threatened security for defense contracts such as Lockheed Martin and Northrop Grumman.
スピアフィッシングの統計
2020年以降、フィッシングやスピアフィッシングの報告が大幅に増えています。ベライゾンの2021年データ侵害調査報告書(DBIR)によると、米国の組織の74%がフィッシング攻撃を経験しています。これらの攻撃の96%は電子メール経由で行われており、電子メールはスピアフィッシングの最も一般的な方法となっています。
スピアフィッシングはより標的を絞って行われるため、活発な攻撃者グループは、認証情報の盗難、ランサムウェア、その他の金銭的な利益を得るために利用しています。これらのグループは、65%の確率でスピアフィッシングを利用しています。他の報告書によると、スピアフィッシングは通常のフィッシングよりも急速に普及しています。Proofpointのレポートによると、64%のセキュリティ専門家と88%の組織が、高度なスピアフィッシング攻撃を経験していることが判明しています。これらの攻撃の多くは、アカウントの侵害、マルウェア(ランサムウェアなど)、データの盗難を狙ったものでした。
スピアフィッシングへのセキュリティ対策
不審な電子メールを検知するために分析を使用する電子メール保護ソリューションを探してみましょう。マルウェアの動的解析では、送信先のWebサイトの悪意ある動作を解析し、実際のユーザーシステムをシミュレートしてマルウェアに組み込まれた回避技術に対抗し、サンドボックス環境下でマルウェアが正体を現すように仕向けることができます。不審なメールの配信時やユーザーがURLをクリックした時にサンドボックス化することで、こうした標的型攻撃の脅威をより多く検知できる可能性があります。
スピアフィッシングの防御には、セキュリティ意識向上トレーニングも同様に重要な役割を果たします。Osterman Researchの調査によると、ほとんどのセキュリティ担当者が、脅威の種類によって異なるものの、セキュリティ意識向上トレーニングとテクノロジーベースのソリューションの組み合わせを推奨しています。スピアフィッシングでは、調査対象者の37%が、「解決策は主にトレーニングだが、テクノロジーの改善も有効」と回答し、44%が「トレーニングとプロセスが同じくらい重要」と回答しています[2]。
どのような組み合わせであれ、本当に重要なのは、人を中心としたセキュリティ態勢を採用することです。攻撃者は、世界をネットワーク図のように見ているわけではありません。誰が攻撃されているか、どのように攻撃されているか、そしてクリックしたかどうかを可視化できるソリューションを導入してください。各ユーザーがどのように狙われているか、どのようなデータにアクセスできるか、攻撃の対象になりやすいかなど、個々のリスクを考慮しましょう。
悪意のあるメールを発見し、報告するようユーザーを教育してください。定期的なトレーニングとフィッシング攻撃のシミュレーションにより、多くの攻撃を阻止し、特に脆弱なユーザーを特定することができます。最高のシミュレーションは、実際の攻撃手法を模倣しています。現在のトレンドや最新の脅威情報を反映したソリューションを探しましょう。
同時に、ユーザーが最終的に何らかの脅威をクリックすることも想定してください。攻撃者は常に人間の本性を利用する新しい方法を見つけ出します。そこで、従業員を狙う受信メールの脅威を、受信箱に届く前に発見し、ブロックするソリューションが必要です。また、あなたの会社のドメインを使って顧客やパートナーを狙うスピアフィッシング攻撃などの外部の脅威も阻止しましょう。
スピアフィッシングから身を守るためのその他の方法:
- 管理者の場合は、メールサーバーにDMARCルールを設定し、フィッシングメッセージが標的の受信者に届かないようにする。
- 金銭的な取引を要求するメッセージは、たとえ送信者が正当な従業員やベンダーのように見えても、確認する。
- メールに記載されているリンクをクリックしない。ブラウザでドメイン名を入力し、公式サイトから認証する。
- アカウントを有効に保つために、回答や金銭的な取引を急がせるようなメッセージには注意する。
- フィッシングの兆候を見極めるトレーニングを実施し、不審なメッセージを受け取ったら管理者に通知する。
- 電話をかけた後でも、メッセージが正当な送信者からのものであることを確認する。ソーシャルエンジニアリングは、ホエーリングやスピアフィッシングでよく使用される。
- 電話では決して認証情報を提供しないよう、ユーザーを教育する。ネットワーク管理者は、組織内のいかなる従業員に対しても、決してパスワードを要求してはならない。
How Proofpoint Can Help
Proofpoint offers an integrated email security solution that blocks spear phishing and many other email-based attacks. Instead of simple blacklists, Proofpoint’s email solution uses heuristics and behavior patterns to detect potential threats and block them from reaching their intended recipient.
Not only does Proofpoint block phishing attacks, but our professionals offer security awareness training to reduce insider threat risks. Automated incident response reduces the timeframe to contain threats, and our adaptive security isolates email messages and potential threats after automatically analyzing risky user behavior.
[1] Tom Burt, Microsoft. “Microsoft takes court action against fourth nation-state cybercrime group.”
[2] “New Methods for Solving Phishing, Business Email Compromise, Account Takeovers and Other Security Threats.” Osterman Research White Paper