IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
すべてのフィッシング詐欺と同様に、スピア・フィッシングには、偽のストーリーや詐欺的なシナリオを通じて被害者を操作することが含まれます。スピア・フィッシング攻撃は、Eメールやテキスト・メッセージ、チャット・アプリ、電話を通じて実行できます。
IBMのデータ侵害のコストに関する調査によると、フィッシングがデータ侵害の最も一般的な原因です。スピア・フィッシングは、サイバー犯罪者がターゲットにできるだけ説得力のある話で詐欺をカスタマイズするため、フィッシングの最も効果的な形態の1つです。
500億件のEメールを分析したBarracuda社のレポートで研究者らは、Eメールでスピア・フィッシングが占めていた割合は0.1%未満であったものの、侵害成功の66%につながったことを明らかにしました。1データ侵害のコストに関する調査によると、フィッシングによる侵害の平均コストは476万米ドルですが、スピア・フィッシング攻撃では1億米ドルにも上る可能性があります。2
ソーシャル・エンジニアリング攻撃の一種であるスピア・フィッシングは、ネットワークの脆弱性よりもむしろ人間性に付け込みます。これに効果的に対抗するには、サイバーセキュリティー・チームが教育プログラムと高度な脅威検知ツールを組み合わせ、この陰湿な脅威に対する強固な防御策を講じる必要があります。
フィッシングとスピア・フィッシングの違いとは
フィッシングは、詐欺的なメッセージを使用して被害者を操作するあらゆるソーシャル・エンジニアリング攻撃を含む広範なカテゴリーです。スピア・フィッシングは、慎重に選ばれたターゲットに焦点を当てたフィッシングのサブセットです。
「一括フィッシング」とも呼ばれる古典的なフィッシング攻撃は、数字ゲームです。ハッカーは、信頼できる企業、組織、さらには有名人から送信されたように見える詐欺的なメッセージを作成します。
ハッカーは、これらのフィッシング・メッセージを数百人から数千人に送信し、そのうちの何人かが騙されて偽のWebサイトにアクセスしたり、社会保障番号などの貴重な情報を渡してくれればよいと考えます。
しかし、スピア・フィッシング攻撃は、サイバー犯罪者が望む資産にアクセスできる特定の個人を狙った標的型攻撃です。
スピア・フィッシングの攻撃者は、企業幹部や企業の地域営業部長など、特定の人物やグループに狙いを定めます。攻撃者は、ターゲットのプライベートや仕事について広範な調査を行い、その結果をもとに、信頼性の高い詐欺メッセージを作り上げます。
ほとんどのスピア・フィッシング攻撃は4つのステップを辿ります。
- 目標の設定
- ターゲットの選択
- ターゲットの調査
- フィッシング・メッセージの作成と送信
1. 目標の設定
ほとんどのスピア・フィッシング詐欺は、組織から多額の金銭を盗むことを目的としています。スピア・フィッシングの攻撃者は、いくつかの方法でこれを実行します。中には、被害者を騙して詐欺業者に支払いや電信送金をさせる者もいます。他にも、ターゲットを操作してクレジット・カード番号、銀行口座番号、その他の金融データを共有させる者もいます。
スピア・フィッシング・キャンペーンには別の有害な目的がある場合があります。
- ランサムウェアやその他のマルウェアの拡散。例えば、脅威アクターは、無害なMicrosoft Word文書を装った悪意のあるEメールの添付ファイルを送信できます。被害者がファイルを開くと、自動的にマルウェアがデバイスにインストールされます。
- ハッカーが大規模な攻撃を仕掛けるために使用できるユーザー名やパスワードなどのログイン認証情報を盗む。例えば、ハッカーはターゲットに不正な「パスワードの更新」ページにつながる悪意のあるリンクを送信することがあり得ます。被害者が認証情報をこの偽装Webサイトに入力すると、その認証情報は直ちにハッカーに送られます。
- 顧客や従業員の個人データ、知的財産、企業秘密などの機密情報を盗みます。例えば、スピア・フィッシングの攻撃者は、同僚になりすまして被害者に機密の報告書を共有するよう求めます。
2. ターゲットの選択
次に、スピア・フィッシャーは適当なターゲットを特定します。ターゲットとなるのは、ハッカーが望むリソースへのアクセス権を直接的に(支払いなど)、または間接的に(スパイウェアをダウンロードするなど)ハッカーに与えることができる人物です。
多くの場合、スピア・フィッシングの試みは、ネットワークまたはシステムの高い権限を持つ中堅社員や下位レベルの社員、または新入社員をターゲットにします。こうした従業員は、上位レベルのターゲットに比べると、会社の方針に従うことを厳格に求められていない可能性があります。また、上級幹部のふりをした詐欺師など、戦略の影響を受けやすい場合もあります。
代表的な被害者には、支払いを行う権限のある財務管理者、管理者レベルでネットワークにアクセスできるIT担当者、従業員の個人データにアクセスできる人事管理者などが挙げられます。
他のタイプのスピア・フィッシング攻撃は、幹部クラスの従業員のみを標的としています。詳細については、「スピア・フィッシング、ホエーリング、BEC」のセクションを参照してください。
3. ターゲットの調査
攻撃者はターゲットを調査し、友人、同僚、上司など、ターゲットに近く、信頼できる人物になりすますことができる情報を探します。
人々がソーシャル・メディアやその他のオンライン上で自由に共有する情報量のおかげで、サイバー犯罪者はあまり深く掘り出さずともこの情報を見つけることができます。多くのハッカーは、Google検索を数時間行うだけで、説得力のあるスピア・フィッシング・メールを作成することができます。
一部のハッカーはさらに踏み込みます。会社のEメール・アカウントやメッセージング・アプリに侵入し、ターゲットを観察してさらに詳細な情報を収集します。
4. フィッシング・メッセージの作成と送信
スピア・フィッシングの攻撃者は、行った調査に基づいて、信憑性が高く見える的を絞ったフィッシング・メッセージを作成します。重要なのは、これらのメッセージには、ターゲットが信頼できる人物のみが知っていると思い違いをしている、個人的な情報や職業上の情報が詳細に書かれていることです。
例えば、ジャックがABC Industriesの買掛金マネージャーであると想像してみてください。攻撃者は、ジャックのLinkedIn公開プロフィールを見ることで、彼の役職、職務、会社のEメール・アドレス、上司の名前と役職、ビジネス・パートナーの名前と役職を見つける可能性があります。
ハッカーはこれらの詳細を利用して、ジャックの上司から送信されたという信憑性のあるEメールを送信できます。
こんにちはジャック、
XYZ Systems からの請求書を処理していることは知っています。彼らは支払いプロセスを更新しており、今後の支払いはすべて新しい銀行口座に送金する必要があると連絡を受けました。新しい口座情報の詳細が記載された最新の請求書は次のとおりです。今日支払い処理を進めてください。
添付されている請求書は偽物で、「新しい銀行口座」は詐欺師が所有している口座です。ジャックが支払を行うと、そのお金は即座にジャックから攻撃者に送金されます。
フィッシング・メールには通常、詐欺の信憑性を高める視覚的なヒントが含まれています。例えば、攻撃者は、ジャックの上司の名前を表示名に使って攻撃者の不正なEメール・アドレスを隠し、なりすましのEメール・アドレスを使用する可能性があります。
また攻撃者は、同僚になりすましたEメール・アドレスをCCに追加し、ABC Industriesの会社ロゴが入った署名を挿入する可能性もあります。
熟練の詐欺師であれば、ジャックの上司の実際のEメール・アカウントをハッキングして、そこからメッセージを送信し、ジャックに怪しまれる理由を与えない可能性すら考えられます。
詐欺師の中には、フィッシング・メールとテキスト・メッセージ(「SMSフィッシング」または「スミッシング」と呼ばれる)や電話(「ボイスフィッシング」または「ビッシング」と呼ばれる)を組み合わせたハイブリッド・スピア・フィッシング・キャンペーンを実行します。
例えば、Eメールでは、偽の請求書を添付する代わりに、詐欺師が秘密裏に操作しているXYZ Systemsの買掛部門に電話するようジャックに指示する場合があります。
ハイブリッド・スピア・フィッシング攻撃は、複数の通信モードを使用しているため、多くの場合、標準的なスピア・フィッシング攻撃よりもさらに効果があります。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
スピア・フィッシング攻撃は、被害者の信頼を得るだけでなく、ソーシャル・エンジニアリングのテクニックを用いて、ターゲットに心理的に圧力をかけ、本来はしてはならない行動や、通常では取らない行動を行うように仕向けます。
その一例として、前のセクションで紹介したスピア・フィッシングのEメールのように、会社の上級管理職になりすますことが挙げられます。従業員は権威を尊重するように条件付けられており、たとえ通常とは異なる命令であっても、役員の命令に従わないことを恐れています。
その他の一般的なソーシャル・エンジニアリングの戦略には、以下のようなものがあります。
プリテキスティング: ターゲットが認識し、共感できる現実的なストーリーや状況を捏造すること。例えば、スピア・フィッシングはITワーカーを装って、定期的にスケジュールされたパスワード更新の時期であるとターゲットに伝える場合があります。
緊迫感を演出: 例えば、ベンダーを装ったり、重要なサービスの支払いが遅れていると主張したりします。
強い感情にアピールする: 恐怖感、罪悪感、感謝、貪欲さを呼び起こしたり、ターゲットが気にかけていることに言及したりすることで、被害者の判断力が鈍り、詐欺に遭いやすくなります。たとえば、ターゲットの上司を装った詐欺師は、「土壇場での要求に対応する」ことに対し「報酬」を約束する可能性があります。
人工知能(AI)、特に生成AI(Gen AI)の可用性が高まることで、スピア・フィッシングの攻撃者は高度で効果的な攻撃を実行しやすくなってきています。
IBMのX-Force Threat Intelligence Indexによると、詐欺師がフィッシングEメールを手動で作成するのに、16時間ほどかかります。AIを利用すれば、詐欺師はわずか5分でこうしたメッセージを作成できます。
特にスピア・フィッシング攻撃では、偽装が最も難しい部分をAIで合理化することができます。例えば、詐欺師は、ターゲットのソーシャル・メディア・プロフィールからの情報の抽出をAIで自動化できます。なりすまそうとしている人物が書いているサンプルを生成AIツールに提供することで、AIにより信頼性の高いフィッシング・メッセージを生成できるようにします。
詐欺師はAIを使って、偽の請求書、Eメールのテンプレート、報告書、その他の資料など、説得力のある偽造文書を作成することもできます。ハッカーは、AIが生成したビデオや音声記録を使用して、詐欺的なコミュニケーションと実際のコミュニケーションの区別をさらに難しくすることさえ可能です。
スピア・フィッシング攻撃には、ホエーリング(または「ホエール・フィッシング」)とビジネス・メール詐欺(BEC)という注目すべき2種類のサブタイプがあります。
ホエーリングと通常のスピア・フィッシングの主な違いは、ホエーリング攻撃では特に知名度が高く、価値の高い被害者をターゲットにしていることです。役員、経営幹部、有名人、政治家を思い浮かべてみてください。ホエーリングの攻撃者は、多額の現金や極秘情報へのアクセスなど、こういったターゲットにしか提供できない獲物を狙っています。
BEC攻撃は、特に組織から強奪することを目的にしたスピア・フィッシング詐欺です。BECの2つの一般的な形式は次のとおりです。
CEO詐欺: 詐欺師は、経営幹部のEメール・アカウント、チャット・アプリ、その他のコミュニケーション・チャネルをスプーフィングしたり、乗っ取ったりすることで、経営幹部になりすまします。詐欺師が1人または複数の下位レベルの従業員にメッセージを送り、詐欺口座への送金や詐欺業者からの購入を指示します。
Eメール・アカウント侵害(EAC): 詐欺師は、財務や営業のマネージャーなど、下位レベルの従業員のEメール・アカウントにアクセスします。詐欺師はそのアカウントを使って、業者に不正な請求書を送ったり、他の従業員に不正な支払いを指示したり、機密データへのアクセスを要求したりします。
米連邦捜査局(FBI)のインターネット犯罪報告書によると、BEC攻撃の成功は最もコストのかかるサイバー脅威の1つであり、2023年に報告された被害総額は29億米ドルに上ります3。
フィッシング攻撃は、従来のサイバーセキュリティー・ツールでは必ずしも検知できないため、対処が最も難しいサイバー攻撃の1つです。スピア・フィッシング攻撃は、標的型でパーソナライズされたコンテンツが使われるため、一般の人には説得力が高く、阻止するのが特に困難です。
しかし、組織には、スピア・フィッシングに対する防御を強化し、攻撃が成功する可能性を減らすために実行できる手順があります。
- セキュリティー意識向上トレーニング
- IDおよびアクセス管理の制御
- サイバーセキュリティー管理
セキュリティー意識向上トレーニング
スピア・フィッシング攻撃はシステムの脆弱性ではなく、人をターゲットにするため、従業員のトレーニングは重要な防御ラインになります。セキュリティ意識向上トレーニングには、以下が含まれる場合があります。
- 偽装されたEメール・アドレス、スペルや文法の誤り、異常に大きな金額、奇妙なリクエストなど、不審なEメールを見分けるテクニック
- ソーシャル・ネットワーキング・サイトでの「過剰共有」を避けるためのヒント
- 未承諾の添付ファイルを開かない、異常な支払い要求があった場合は対応する前に第2のチャネルを通じて確認するなど、詐欺に対抗するための組織のポリシーとプロセス
- スピア・フィッシングのシミュレーションとペネトレーション・テストは、従業員が学習内容を適用し、セキュリティー・チームが修復すべき脆弱性を特定するのに役立ちます。
IDおよびアクセス管理(IAM)
サイバーセキュリティー管理
1つのセキュリティー管理ではスピア・フィッシングを完全に阻止することはできませんが、複数のツールを利用することで、スピア・フィッシング攻撃を防止したり、攻撃による被害を最小限に抑えることができます。
スパム・フィルターや安全なEメール・ゲートウェイなどのEメール・セキュリティー・ツールは、スピア・フィッシング・メールの検知と回避に役立ちます。
ウイルス対策ソフトウェアは、スピア・フィッシングに起因する既知のマルウェアやランサムウェアによる感染を無力化するのに役立ちます。
セキュアWebゲートウェイ、ファイアウォールおよびその他のWebフィルタリング・ツールは、スピア・フィッシング・メールがユーザーを誘導する悪意のあるWebサイトをブロックできます。
システムおよびソフトウェアのパッチは、スピア・フィッシングの攻撃者によって一般的に悪用される技術的な脆弱性を解決できます。
エンドポイントの検知と対応(EDR)や統合エンドポイント管理(UEM)といったソリューションのエンドポイント保護ツールは、詐欺師がデバイスを乗っ取ったり、ユーザーになりすましたり、マルウェアを仕込んだりするのを阻止することができます。
- セキュリティー・インシデントおよびイベント管理(SIEM)やセキュリティー・オーケストレーション、自動化、レスポンス(SOAR)プラットフォームなどのエンタープライズ・セキュリティー・ソリューションは、スピア・フィッシング攻撃に関連した悪意のあるネットワーク・アクティビティーを検知し、阻止するのに役立ちます。
参考情報
脚注
1 2023 spear-phishing trends, Barracuda, 2023.
2 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook, CNBC, 2019年3月27日。
3 Internet Crime Report 2023, FBI Internet Crime Complaint Center, 2024年4月4日。