スピアフィッシングとは？意味とセキュリティ対策

スピアフィッシングとは、通常のフィッシングと同様に、受信者をだましてアカウント情報などの機密情報を攻撃者に提供させようとする詐欺のことです。また、リンクや添付ファイルによって、受信者に気づかれずにマルウェアをダウンロードさせ、攻撃者がユーザーのコンピューターシステムやその他の機密情報にアクセスできるように仕向けることもあります。スピアフィッシングが一般的なフィッシングと異なるのは、標的型であるという点です。

スピアフィッシングのメッセージは、通常、攻撃者が受信者について見つけた公開情報に基づいてパーソナライズされています。これには、受信者の専門分野に関するトピックや、組織内の役割、関心事、公表されている住居および税金の情報、その他攻撃者がソーシャルネットワークから収集できるあらゆる情報が含まれています。これらの具体的な情報は、メールをより正当なものに見せ、受信者がリンクをクリックしたり、添付ファイルをダウンロードしたりする可能性を高めます。

スピアフィッシングは、フィッシングよりも標的を絞ったサイバー攻撃です。電子メールは、標的の被害者に合わせてパーソナライズされています。例えば、攻撃者は、被害者が知っている人物になりすますなど、ソーシャルエンジニアリングの技術を駆使して、被害者の信頼を得ようとすることがあります。

2019年、北朝鮮と連携したサイバー犯罪グループ「Thalium」が、50以上のウェブドメインを利用してスピアフィッシング攻撃を行ったと報告されました。Thaliumの標的は、政府職員、シンクタンク、大学職員、世界平和と人権に焦点を当てた組織のメンバー、核拡散問題に取り組む人々などでした。ほとんどのターゲットは、日本、韓国、米国に拠点を置いていました。^[1] Thaliumの攻撃者は、核兵器の拡散を阻止するための努力を支援することによって、ターゲットに慕われようとしていました。

スピアフィッシングの例としては、「ウェイドさん、今年の初期の赤ワインがお好きとのことですが、ボブさんも好きなドメーヌマレフィセント（なりすまし、または侵害されたWebサイト）を訪問することをおすすめします。オンラインストアをチェックしてみてください。」このスピアフィッシングの例では、ウェイドの公開情報から彼がワイン愛好家であり、同じくワイン愛好家のボブの友人であることがわかり、なりすましメールを通じてFacebookコネクションからメールが発信された場合、非常に効果的です。

上記の例では、攻撃者はターゲットとなる被害者の興味や性格に合わせてメールをカスタマイズしていることに注目してください。このカスタマイズが、スピアフィッシングと通常のフィッシングの違いです。この差別化によって、スピアフィッシングは攻撃者にとってより時間がかかるものですが、その分非常に効果的です。

スピアフィッシングと通常のフィッシングには、共通点がある一方で、明確な違いもあります。どちらも標的のユーザーを騙して機密情報を流出させるという点で共通していますが、スピアフィッシングは攻撃者により多くの労力を必要とします。スピアフィッシングでは、ターゲットとなるユーザーを偵察し、理解した上で、正規の送信者からのメールであるかのように見せかけるために、十分な情報を含むメールを送らなければなりません。

まず、違いを確認するために、標準的なフィッシングについて説明します。一般的に、フィッシングキャンペーンには特定のターゲットが存在しません。例えば、攻撃者は、PayPalのロゴを使用し、PayPalの正規の担当者のような内容のメールを作成することがあります。通常、このメールにはユーザーの名前は含まれず、攻撃者は受信者がPayPalのアカウントを持っているかどうかさえ知りません。このメッセージは、標的のユーザーに返信を求めたり、悪意のあるWebサイトへのリンクをクリックさせたりするだけかもしれません。

攻撃者は、電子メールの連絡先リストに何千通ものフィッシングメールを送信する可能性があります。攻撃によっては、悪意のあるメッセージを送信するために使用されるドメイン名が、公式のものと類似している場合があります。例えば、攻撃者は「payypal.com」というドメインを登録し、送信者を公式に見せかけるかもしれません。もうひとつのフィッシング詐欺の手口は、なりすましメールを利用するものです。スプーフィング（なりすまし）とは、オープンなメールサーバーを利用して、実際にはPayPalの正規社員からのメッセージでないにもかかわらず、送信者ドメインを「paypal.com」に操作することです。DMARC（Domain-based Message Authentication Reporting and Conformance）は、なりすましメールを検知してブロックする新しいサイバーセキュリティ戦略で、受信側のメールサーバーがDMARCを使用していれば、なりすましは以前のような脅威ではありません。

メッセージの設定と受信者のリストがあれば、攻撃者は悪意のあるメッセージを送信することができます。攻撃者は、一部のメッセージが届かないことを承知しています。サイバーセキュリティフィルターが受信者のメールサーバー上で他のメッセージをブロックし、ターゲットとなるユーザーがそのメッセージがフィッシングであることに気づけば、いくつかのメッセージは自動的に削除されます。しかし、フィッシングメールを受け取り、攻撃者に機密情報を送信してしまうユーザーも存在します。攻撃者は、何十人もの受信者が被害者になることを知っているので、何千人ものユーザーを対象にしたメール配信では、特定のターゲットは必要ありません。

通常のフィッシングが少額の報酬に有効なのに対し、スピアフィッシングはより大きな報酬を得るために、よりターゲットを絞ったアプローチをとります。通常、会計士、人事担当者、経営幹部など、組織内の高権限のユーザーをターゲットにします。このような攻撃を行うには、ターゲットとなる組織についてより詳しく調査し、どのようなメッセージが効果的であるかを理解する必要があります。また、スピアフィッシングは、ソーシャルエンジニアリングと組み合わせることで、より効果的に利用することができます。

スピアフィッシングは、通常の攻撃よりもはるかに説得力のあるメッセージを使用します。例えば、CEOを名乗る攻撃者は、財務担当エグゼクティブを騙して、自分の銀行口座に送金させることができます。また、偽の請求書を使って、買掛金の担当者を騙し、攻撃者に送金させることも可能です。認証情報を盗むために、攻撃者は、IT部門が情報を求めているように見せるメッセージを作成するかもしれません。ユーザーを欺くには、受信者が知っている正当な人物からのメッセージであるかのように見せかける必要があるため、ソーシャルエンジニアリングも使用されることがあります。

スピアフィッシングは標的型攻撃であるため、メッセージを受け取るユーザーの数は少なくなります。攻撃者は組織を調査し、ターゲットとして選ばれた少数の高特権ユーザー向けのメッセージを作成します。ユーザーは、通常、組織のウェブサイトの組織図から、または偵察のためにLinkedInを使用して選ばれます。

スピアフィッシングを利用した攻撃者は、組織を騙して海外の銀行口座に数百万ドルを送金させたり、重要なネットワーク認証情報を送信させたりすることがあります。攻撃者が管理する銀行口座への送金は壊滅的な被害をもたらしますが、盗まれたネットワーク認証情報はさらに大きな被害をもたらす可能性があります。二要素認証と侵入検知システムは、フィッシング攻撃成功後の被害拡大を防ぐのに役立ちますが、脅威アクターは通常、データを盗むために他の方法を用います。ネットワークにマルウェアを注入したり、盗んだ認証情報を使ってデータ漏洩させたりすることもあります。

盗まれた認証情報により、攻撃者は発見されるまでの数ヶ月間、被害者のネットワーク上に存在し続けることができます。その間に、攻撃者は数テラバイトのデータを検出されずに流出させるかもしれません。検出された場合、組織は脅威を封じ込め、侵害の原因となった脆弱性を特定しなければなりません。

スピアフィッシングは特定の人を狙う攻撃ですが、「ホエーリング」とは、攻撃者が1人または数人のCレベルのエグゼクティブをターゲットにする場合を指します。Cレベルエグゼクティブとは、ネットワーク上の高権限のアカウントや財務アカウントへのアクセス権を持つエグゼクティブを指します。スピアフィッシングの被害に遭う可能性が高いのは経営幹部であるため、徹底的な偵察を行う脅威アクターにとっては有益な投機といえます。

中小企業や大企業は、脅威アクターやスピアフィッシングのターゲットになる可能性があります。また、ホエーリングでは、大規模な攻撃においてソーシャルエンジニアリングも行われます。例えば、攻撃者は、標的となるユーザーにとって脅威がより説得力のあるものになるよう、エグゼクティブと接触するパートナーと協力することがあります。Home Depot、Anthem、Target、JP Morganはすべて、ホエーリングとスピアフィッシングの標的になっています。Epsilonは、メールプロバイダを標的としたスピアフィッシング攻撃により40億ドルを失いました。その被害は甚大で、被害回復のための費用と訴訟などで、これまでで最大規模のサイバー攻撃による支払いとなりました。

• メールの送信者は、顧客を名乗り、最近購入した商品についてクレームをつけてきます。攻撃者は、標的となった従業員が認証を促される公式ページを模したWebサイトにユーザーを繋げます。
• テキストメッセージまたは電子メールにより、銀行口座が侵害されたことが通知され、認証を促すページに繋げられます。
• メール送信者は、正規のベンダーを名乗り、口座の有効期限が迫っているため、受信者はリンクをクリックして認証する必要があると伝えます。

• 特定の団体への寄付や送金を要求してくる場合は、通常、スピアフィッシングのターゲットであることを示しています。
• 請求書を支払う前に必ず検証しましょう。攻撃者は、組織を騙すために、偽のベンダーと実際のベンダーを使い分けます。

スピアフィッシングの多くが、攻撃者は財務部門をターゲットにしています。例えば、攻撃者はUbiquiti Networksという米国のネットワーク技術会社を標的にし、スピアフィッシングを使って4670万ドルを盗み出すことに成功しました。攻撃者は幹部になりすまし、財務部門にオフショアの銀行口座へ送金するように説得しました。

サイバーセキュリティのパイオニアだからといって、スピアフィッシングに対する耐性があるわけではありません。RSAセキュリティは、従業員がAdobe Flashオブジェクトが埋め込まれたExcelスプレッドシートを開いた際に、スピアフィッシング攻撃の被害に遭いました。この悪意のあるFlashオブジェクトは、ゼロデイFlashの脆弱性を利用し、ローカルコンピュータにバックドアをインストールしました。このバックドアによって攻撃者は認証情報にアクセスできるようになり、ロッキード・マーティンやノースロップ・グラマンなどの防衛契約のセキュリティが脅かされました。

2020年以降、フィッシングやスピアフィッシングの報告が大幅に増えています。ベライゾンの2021年データ侵害調査報告書（DBIR）によると、米国の組織の74％がフィッシング攻撃を経験しています。これらの攻撃の96％は電子メール経由で行われており、電子メールはスピアフィッシングの最も一般的な方法となっています。

スピアフィッシングはより標的を絞って行われるため、活発な攻撃者グループは、認証情報の盗難、ランサムウェア、その他の金銭的な利益を得るために利用しています。これらのグループは、65％の確率でスピアフィッシングを利用しています。他の報告書によると、スピアフィッシングは通常のフィッシングよりも急速に普及しています。Proofpointのレポートによると、64％のセキュリティ専門家と88％の組織が、高度なスピアフィッシング攻撃を経験していることが判明しています。これらの攻撃の多くは、アカウントの侵害、マルウェア（ランサムウェアなど）、データの盗難を狙ったものでした。

• 管理者の場合は、メールサーバーにDMARCルールを設定し、フィッシングメッセージが標的の受信者に届かないようにする。
• 金銭的な取引を要求するメッセージは、たとえ送信者が正当な従業員やベンダーのように見えても、確認する。
• メールに記載されているリンクをクリックしない。ブラウザでドメイン名を入力し、公式サイトから認証する。
• アカウントを有効に保つために、回答や金銭的な取引を急がせるようなメッセージには注意する。

• フィッシングの兆候を見極めるトレーニングを実施し、不審なメッセージを受け取ったら管理者に通知する。
• 電話をかけた後でも、メッセージが正当な送信者からのものであることを確認する。ソーシャルエンジニアリングは、ホエーリングやスピアフィッシングでよく使用される。
• 電話では決して認証情報を提供しないよう、ユーザーを教育する。ネットワーク管理者は、組織内のいかなる従業員に対しても、決してパスワードを要求してはならない。

Proofpointは、スピアフィッシングやその他多くのメールベースの攻撃をブロックする統合型メールセキュリティソリューションを提供しています。Proofpointのメールソリューションは、単純なブラックリストではなく、ヒューリスティックと行動パターンを利用して潜在的な脅威を検出し、意図した受信者に到達しないようにブロックします。

Proofpoint はフィッシング攻撃をブロックするだけでなく、専門家がセキュリティ意識向上トレーニングを提供し、内部脅威のリスクも軽減します。自動化されたインシデントレスポンスにより、脅威を封じ込めるまでの期間が短縮されます。当社のアダプティブセキュリティは、リスクの高いユーザーの行動を自動的に分析した後、メールメッセージと潜在的な脅威を分離します。

[1] Tom Burt, Microsoft. “Microsoft takes court action against fourth nation-state cybercrime group.”
[2] “New Methods for Solving Phishing, Business Email Compromise, Account Takeovers and Other Security Threats.” Osterman Research White Paper