スピアフィッシングは特定の個人または組織に対する標的型攻撃ですが、一般的なフィッシングキャンペーンでは大量の人々に送信されます。

フィッシングとは

フィッシングEメールの例 – クリックすると拡大できます

Eメールを使っている人なら誰でも、フィッシング攻撃を知っているでしょう。最新のフィッシング攻撃の多くは、よく知られた企業や銀行からの正式のEメールを装っています。リンクをクリックしたり、添付ファイルをダウンロードしたりする前に、送信者のアドレスにマウスを合わせてそれが正しいアドレスかどうかを確認する注意深いユーザーだけが、それが悪意のあるEメールであると見破ることができます。

フィッシング攻撃は数の攻撃です。誰か1人を標的にするのではなく、そのうちの何人かが罠にかかることを期待して、多数の人々を標的にします。

攻撃はパーソナライズされていないので、受信者の名前を使用していないことがフィッシングEメールを見抜く鍵です。フィッシング攻撃はEメールだけでなく、テキストメッセージ、電話、メッセージングアプリケーションによっても行われます。

スピアフィッシングとは

スピアフィッシングEメールの例 – クリックすると拡大できます

フィッシング攻撃の標的はクリックする可能性がある人全員ですが、スピアフィッシング攻撃は、特定の企業や業界で働く人をだまして、本当の標的である企業本体へのアクセスを得ようとします。

スピアフィッシング攻撃は、少なくとも、標準的な企業のマーケティングキャンペーンと同程度にはパーソナライズされています。例えば、スピアフィッシング攻撃は最初に、特定の地域の金融会社に勤務しており、役職に「財務」という言葉が含まれている中堅レベルのマネージャーを標的にします。

スピアフィッシング攻撃では開始前に、非常に詳細な調査が行われますが、莫大な見返りが得られる見込みがあるため、攻撃者にとっては労力をかけるだけの価値があります。この見返りは金銭とは限りません。多くのスピアフィッシング攻撃が国家の支援の下で行われています。

スピアフィッシング攻撃を実施するにあたり、攻撃者は、Eメールのスプーフィング、動的URL、ドライブバイダウンロードを併用してセキュリティコントロールを突破します。高度なスピアフィッシング攻撃では、ブラウザ、アプリケーション、プラグインのゼロデイ脆弱性を悪用することがあります。スピアフィッシング攻撃は、多段階の持続的標的型攻撃 (APT攻撃) の初期段階として行われることもあります。APT攻撃の後の段階では、バイナリのダウンロード、マルウェアのアウトバウンド通信、データの流出が行われます。

フィッシングとスピアフィッシングの両方から身を守る方法

フィッシング詐欺から身を守るために大いに役立つ簡単なヒントをいくつかご紹介します。

• リモートサービス、VPN、および多要素認証 (MFA) ソリューションにすべてのパッチが適用され、適切に設定および統合されていることを確認する。
• さまざまな種類のフィッシング攻撃について従業員を教育するために、セキュリティ意識向上トレーニングを実施する。
• 社内でフィッシングのシミュレーションを実施して、従業員がセキュリティ意識向上トレーニングから学んだことを実践できるようにする。
• リンクをクリックする前にURLを検証する方法を知る。
• スパム対策フィルターの使用：スパム対策フィルターは、専門のセキュリティ研究者が作成した事前定義済みブラックリストを使用して、フィッシングEメールを迷惑メールフォルダーに自動的に移動し、人為的エラーから保護します。
• ウイルス対策ソフトウェアの使用：マルウェア対策ツールはデバイスをスキャンして、フィッシングによってシステムに侵入するマルウェアを防止、検知、削除します。
• 最新のブラウザとソフトウェアの使用：システムやブラウザは必ず最新バージョンを使用します。
• 絶対に迷惑メールに返信しない：フィッシングEメールに返信すると、あなたのアドレスが有効であることがサイバー犯罪者に知られます。