サイバー攻撃の手法としてフィッシング攻撃は代表例の1つだ。フィッシング攻撃は不特定多数に対して詐欺メールを送るものだが、最近はターゲットを絞ったスピアフィッシングと呼ばれる攻撃手法が増えている。この記事では、フィッシングとスピアフィッシングの違いや、有効な対策について解説する。
フィッシングとスピアフィッシングの違い
最近、スピアフィッシングというキーワードを一般的なニュースメディアでも目にする機会が増えたのではないだろうか。スピアフィッシングの意味は分からなくても、ニュースなどでフィッシングサイトやフィッシング詐欺という言葉は耳にしたことがあるだろう。特に、フィッシング詐欺は近年、メディアでも大きく報じられている。
スピアフィッシングはその言葉尻から推測できるように、フィッシングに関連する攻撃手法であるが、いくつかの点で異なっている。フィッシングとスピアフィッシングの違いは以下のとおりだ。
フィッシング
不特定多数のユーザー対し、メールやSMS、SNSなどで送信者や件名、内容を詐称したメッセージを送り付け、偽装したフィッシングサイトへ誘導する手法のこと。誘導したサイト上で、クレジットカード番号やアカウント情報など、重要な個人情報をターゲットに入力させるよう仕向ける。ここで不正に取得した情報を詐欺行為に用いるのがフィッシング詐欺の常套手段だ。
フィッシングは以前からある手法で、「魚釣り(Fishing)」の「F」を、「Sophisticated(洗練された)」の文字列内の「Ph」に換言した造語とされる。最近では、SMSを用いた手法を「スミッシング」と呼ぶなど、派生した攻撃手法も登場している。
新型コロナウイルス感染症に関連する情報、あるいは政情不安に関する根も葉もない噂など、ユーザーの不安を掻き立てる、さらには緊急性を煽るような内容の件名や文面で、攻撃者が目論む行動をユーザーに促し、目的達成を狙う。
スピアフィッシング
スピアフィッシングは、フィッシングにおける1つの手法として分類される。スピアフィッシングの「スピア」は槍という意味で、槍を突き刺すように相手に狙いを定めて攻撃を行うことからこの名称となった。
攻撃の目的はフィッシング詐欺同様にユーザー情報の詐取だが、狙いを定めて攻撃することが特徴だ。要するに、フィッシングは不特定多数をターゲットに、メールの一括送付でアプローチして一定の確率で騙されるユーザーを狙うが、スピアフィッシングは攻撃対象を絞り込み、ターゲットの属性に準じた巧妙な攻撃手法を用いる。フィッシングと比較して、攻撃の成功確率を向上させて目的達成を狙うのがスピアフィッシングの特徴だ。
なお、スピアフィッシングに近い手法としてBEC(Business Email Compromise:ビジネスメール詐欺)が挙げられるが、BECでは直接的に金銭の奪取を目的とする点が大きく異なる。
スピアフィッシングの具体的な手法
スピアフィッシングではメールでフィッシングサイトへの誘導が行われることが多く、そのようなメールは標的を狙って攻撃するため「標的型攻撃メール」とも呼ばれる。
スピアフィッシングを行う攻撃者は、攻撃準備の段階でソーシャル・エンジニアリングなどの手法を用いてターゲットに関する情報を収集して分析する。その分析結果をもとに、例えば上司の名前を騙り、内容も本物に見紛うものとすることで、ターゲットに警戒心を抱かせることなく、メールの内容を信じ込ませる。その結果、攻撃者が期待する行動をターゲットがとってしまうのだ。
スピアフィッシングでは、社内の従業員だけでなく、その企業の関連会社、取引先や銀行・自治体などになりすますこともあるため、非常に巧妙で、適切な判断が難しい手法だ。
スピアフィッシングの事例
スピアフィッシングでは、企業・組織の従業員がターゲットとして狙われる傾向にある。企業・組織では取引にメールを用いる機会が多いことから、そうしたやり取りに割り込む余地が生じる。従来、そうしたやり取りに攻撃者が紛れ込むということは想定されていなかった。そのため、過去に多くの被害が発生している。以下、実際に起きたスピアフィッシングの事例を紹介していく。
2015年 行政機関で約125万人にも上る個人情報流出
2015年5月、日本年金機構にスピアフィッシング攻撃が行われ、合計31台の端末がマルウェアに感染。約125万件の個人情報が流出した。流出した情報は、基礎年金番号、氏名、生年月日、住所の4点だが、その中でも住所以外の3点の情報が多く流出した。お詫びと問い合わせ対応、基礎年金番号の変更のお知らせ文書の送付など、対応に要した費用は総額で約10億円に上った。
2016年 国内大手旅行代理店で約679万人にも上る個人情報流出の可能性
2016年6月、国内大手旅行代理店が、約679万人分の個人情報が流出した可能性があると公表した。この原因は、子会社が公開している問い合わせ受付用のメールアドレスに送付された標的型攻撃メールによるものだ。件名は「航空券控え 添付のご連絡」となっており、取引先の航空会社系販売会社のドメインを偽装していた。添付されていた圧縮ファイルを開封すると、表示されたPDFの裏でマルウェアが始動し、攻撃者がパソコンを遠隔操作できるようになっていた。
2017年 アメリカで原子力発電所を運営する企業の従業員への攻撃
2017年5月、アメリカで原子力発電所を運営する企業の従業員を狙ったスピアフィッシング攻撃が公表された。原子力発電所の管理コンピューターと原子炉制御システムは別々に運用されており、インターネットからも切り離されていたことから、発電所の運転に関する情報などが流出した形跡はないとされる。
このように、スピアフィッシングによる被害事例は後を絶たない。IPAが2020年6月に発表した「サイバーレスキュー隊(J-CRAT) 活動状況 [2019年度下半期]」では、スピアフィッシングは防御が困難で、今後も警戒すべき攻撃手法だと警鐘を鳴らしている。
スピアフィッシングに対する有効な対策
スピアフィッシングは企業・組織の従業員を狙い、その上司や取引先などの関係者を装ったメールを送り付ける攻撃であり、通常のフィッシングよりも成功率が高くなる。スピアフィッシングへの対策として有効なものとして、以下3点が挙げられる。
1)不審なメールを開封しない
スピアフィッシングはメールの添付ファイル開封やURLへのアクセスを促すことで、ターゲットのデバイスをマルウェアに感染させることが攻撃の糸口となる。そのため、不審なメールは開封しないことが重要だ。少しでも不審な点が感じられたメールを受信した場合は、送信元にそのメールの真偽を確認すること。その確認を行う前に、メール文面で促された行動を安易に行わないよう、社員に周知・徹底させる必要がある。
2)メールサーバー側でブロック
メールサーバー側でスピアフィッシングが疑われるメールを識別、排除することで被害を低減できる。近年のメールサーバーでは、さまざまなルールを設定してフィッシングメールをフィルタリングできる。高度なセキュリティソリューションでは、機械学習によるメールのパターン認識、あるいはメールの添付ファイルや本文中のURLの安全性を精査することも可能だ。
3)エンドポイントセキュリティの強化
スピアフィッシングの攻撃はマルウェア感染を起点とする。受信やメール開封だけでは直接的な被害につながる可能性は限定的だ。すなわち、マルウェア感染への防御を固めることがスピアフィッシングでは有効な対策となり得るのだ。また、ゼロデイ脆弱性と呼ばれる、未知の脆弱性を速やかに狙う攻撃も最近は増加している。
こうした状況を見越した対策がエンドポイントセキュリティの導入だ。例えば、「ESET PROTECT Advanced クラウド」は、アンチマルウェアやネットワーク保護、セキュアブラウザー、フルディスク暗号化機能などが備わった総合的なエンドポイント保護機能を搭載する。加えて、ランサムウェアやゼロデイ攻撃を防ぐクラウドサンドボックステクノロジーが、総合的にマルウェア感染を抑制する。メールクライアント上で、メールの受信時にマルウェアを検知するだけでなく、危険性が疑われるURLへのアクセスをブロックするなど、多層的な防御でマルウェア感染を防ぐのだ。
スピアフィッシングの脅威を踏まえた行動を
スピアフィッシングは今後もより一層の進化が見込まれており、送信元や件名、文面を巧みに偽装した手口を確実に見抜くことは非常に困難だと言わざるを得ない。そのため、見抜くことが難しいという前提に立って対策も講じる必要がある。日常的に迫る脅威の存在を認識し、その洗練されていく手口を絶えず把握し続けることが求められる。そのためには企業・組織では、従業員のセキュリティリテラシーを高めるための教育・研修を積極的に実施すべきだろう。
一方で、人間は必ずミスを犯すものという前提のもとで、万一の場合に被害を最小化するためにもセキュリティソリューションの導入を検討してほしい。複合的に対策を講じることが、今後も悪質化していくスピアフィッシングの被害抑制につながるはずだ。