「スピア」型フィッシングは2015年5月に起こった日本年金機構の個人情報漏出に利用された手口である。全く同じ内容のメールを大量に不特定多数のアドレスに送り付けるのではなく、攻撃相手のことをよく研究し、ごく自然に感じられる件名や本文、添付ファイル名などが付される。こうした攻撃が発見された場合、直ちに社内LANからパソコンを切り離すとともに上司やセキュリティ担当者に報告し、徹底した対策を行う必要がある。
防ぐのが困難な「スピア」型フィッシング
「スピア」型は、フィッシング攻撃の一変種であるが、ターゲットが絞り込まれており、特定の個人や団体または小集団のみを狙っている点に特徴がある。
送信者名、件名、本文、添付ファイルなどが一見すると不自然ではないため、日常業務をこなす意識で添付ファイルを開いたり、リンク先のURLをクリックしたりしてしまう。
しかし、少し冷静に考えてみれば、取引先や取引内容などについてはインターネット上に公開されているものも多い。したがってメールの真偽判定については、もっと慎重に行う必要がある。
例えば「定例会議の議事録」という件名で取引先の担当者の名前が送信先にあれば、それを最初から疑う人はまずいない。
いつもと変わらないメールと思い、文中にリンク先があったり、添付ファイルがあったりしても、それらを開封したりクリックしたりするのは、ごく自然の成り行きである。
しかし、偽物のWebサイトに飛んでも気付かない場合、個人情報やID、パスワードなどが盗まれることになる。
また、添付ファイルを開封した場合、マルウェアが動き出し、背面でトロイの木馬やキーロガーなどが送り込まれる。さらにはネットワーク内の他のコンピューターにも感染させるかもしれない。
主な対策
それでは、「スピア」型フィッシングは、具体的にどこに注意をすればよいのだろうか。1)感染防止、2)感染後の対策、3)日常的な対策の3点に分けて説明しよう。
1) 感染防止
まず、被害の出発点となるメールであるが、送信者名、件名、本文、本文内のリンク先URL、添付ファイル、それぞれにチェックすべきポイントがある。
送信者名がいつもやりとりをしている取引先の人物であったとしても、名刺に書かれているメールアドレス以外のものは受け付けないというやり方がある。特に「Yahoo!」や「excite」など無料で得られるアカウントであれば、開封は避けた方がいいだろう。
本文の内容がごく自然に感じられても、添付ファイルや本文中にリンクを貼ってURLをクリックさせるようなやりとりは、普段から避けたいものである。オンラインのストレージサービスを使ってダウンロードするやり方も、無料サービスなどはセキュリティの面で心配なので使わない方がよいだろう。ファイルを相手とやりとりしたい場合は、信頼のあるストレージサービスやFTPなどを利用し、パスワードを掛け、パスワードは別のメールで連絡する。
メールの注意点
・無料アドレスからのメールは疑ってかかる
・オンラインストレージからのダウンロードはしない
・本文中のリンクURLをクリックしない
・添付ファイルは開封前にマルウェア対策ソフトでスキャンを行う
・重要なファイルにはパスワードを掛ける(パスワードは別途連絡)
・機密情報や個人情報をパソコンで扱う場合は、インターネットとの接続を切る
2) 感染後の対応
普段から細心の注意を払うことが望ましいが、不測の事態は起こらないという前提ではなく「起こり得る」と考えた上で、実際に感染や被害が発生した場合どのように対応すべきなのかを前もって点検することが、被害を未然に防ぐだけでなく、被害の拡大を食い止める上で極めて重要である。
初動を逃してしまうと、人はなかなか話ができなくなることが多い。そこで、パソコンの調子がおかしかったり、怪しいメールの添付ファイルを開封したり、何かおかしいと思ったりしたら、直ちに上司やセキュリティ担当者に報告すべきであろう。
また、有線・無線どちらでもネットワークにつながっていれば他のパソコンにも影響を及ぼす恐があるので、怪しいと思った時点でそのパソコンをネットワークから切り離しておきたい。場合によっては組織全体のネットワークを一時的でも停止させることも考えるべきである。
ほかに、USBメモリーなどの外部記憶装置が装着されている場合は、それらを通じて2次感染する危険性もあるので、利用の有無を確認する。また、スマートフォンへの影響もあるかもしれないので、念のためチェックが必要だ。
直ちにできることとしては、ウイルス対策ソフトを使ってパソコン全体のスキャニングをあらためて実行しておきたい。また、専門家やセキュリティ業者への相談もした方がよい。
感染後の対策ポイント
・上司やセキュリティ担当者に速やかに報告する
・感染したパソコンを隔離する(インターネットやネットワークから切り離す)
・場合によっては組織全体のインターネット接続やネットワークを一時停止する
・外部記録装置に接続していなかったかどうか点検する
・スマートフォンへの影響の有無を確認する
・感染ファイルやマルウェアの調査を行う
・専門家やセキュリティ業者に相談する
3) 日頃の対策を強化
被害が起こってからではなく、被害が起こらないように日頃気を付けたいこととして、定期的にセキュリティについての研修や教育を行うこと、セキュリティ関連のニュースを見出しだけでもいいので確認すること、そして、手口や実際に被害があった場合の対策をシミュレーションしておくこと、などが大切である。
また、セキュリティ体制や使用しているソフトウェア、ソリューションなどについても定期的に見直しを図り、マルウェア対策その他のソフトウェアをより安全なものに代えるなど、より安全で堅固になるよう改善を行いたい。
日常的な対策ポイント
・研修や教育による標的型攻撃の手口の理解に努める
・セキュリティ関連のニュースに目を通す
・マルウェア対策その他のソフトウェアをより安全なものに代える
古来よりの「スピアフィッシング」の意味
なお、呼称の元となった「スピアフィッシング」(Spearfishing)は、一般的な「フィッシング」(fishing)が網を掛けて一度に多くの魚を捕まえるのに対して、古来より行われている、銛(もり)を使って特定の1匹の魚を捕る手法を意味する。
皮肉にもコンピューターにおける「スピアフィッシング」(Spearphishing)は、そうした生活の糧のための伝統的な手法ではなく、最先端の脅威として私たちの個人情報を虎視耽々と狙っているのである。