獲物に狙いを定めて槍を投げるように攻撃を行う、フィッシング攻撃の一種
フィッシング攻撃とは、金融機関や大手通販サイトなどに詐称したメールを不特定多数に対して無差別に送り付け、本文のURLをクリックさせることで本物そっくりの偽サイトに誘導し、不正にIDとパスワードを詐取したり、マルウェアを感染させたりする攻撃である。一方で、スピアフィッシングとは獲物に狙いを定めて槍を投げるように(スピアは「槍」の意)、特定の企業や特定の人物を標的にするフィッシング攻撃の一種で、標的型攻撃に分類される。
スピアフィッシングは狙いを定めた攻撃であるため、一般的なフィッシング攻撃よりも危険性が高いとされる。フィッシングのメールは、不特定多数を対象としていることで、詐称していることの判別が難しくないが、スピアフィッシングは、事前に収集した情報をもとに、対象に関連する内容のメールが送られてくる。そのため、送りつけられた側は正規のメールだとみなし、添付されたファイルなども開封する傾向にある。通常のフィッシング攻撃のメールではファイルの開封率が3%程度であるのに対し、スピアフィッシングでは70%もの受信者が開封するという調査結果もある。
スピアフィッシングでは、取引先の担当者の名前を騙ってメールを送ってくるというのが典型的な手口である。送られた側は普段から取引している担当者から送られてきた大事なメールだとみなし、疑うことなく開封する。スピアフィッシングの場合、予算権限を有する幹部クラスの社員や人事部門など、外部から送られてきた文書を開くことが多い部門の社員が標的とされることが少なくない。
スピアフィッシングへの対策
スピアフィッシングへの対策は、一般的なフィッシング攻撃への対策と基本的には変わらない。不審なメールを開封しない、また安易にメールに記載されているURLをクリックしないということが基本となる。しかし、スピアフィッシングは標的を絞った攻撃であるため、詐称メールであることを見抜くのが難しいという側面もある。そこで、システムとして疑いのあるメールをシャットアウトする仕組みや、フィッシングサイトへのアクセスを防ぐ仕組みが求められる。このような複数のセキュリティ対策を内包したツールが統合型セキュリティソリューションであり、それらを導入することにより、さまざまなレベルでスピアフィッシングへの対処が可能となる。