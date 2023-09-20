IBMニュースレター
答えは簡単です。スピア・フィッシングは特別なタイプのフィッシング攻撃です。
フィッシングとは、悪意のあるEメール・メッセージ、テキスト・メッセージ、または音声電話などを使って人々を騙すものです。機密データ（クレジット・カード番号や社会保障番号など）を共有させたり、マルウェアをダウンロードさせたり、悪意のあるWebサイトにアクセスさせたり、間違った人に送金させたり、それは自分自身、彼らの関係者、または雇用主自身を対象としています。フィッシングは最も一般的なサイバー犯罪の攻撃ベクトル、つまり攻撃方法であり、2022年には300,479件のフィッシング攻撃がFBIに報告されました。
フィッシングの大半は一括フィッシングで、広く知られ信頼されている送信者（例えば、世界的なブランド）からのものと思われる個人的なメッセージを、数百万人に一斉送信し、ごく一部の受信者が餌にかかることを期待するものです。
スピア・フィッシングは標的型フィッシングです。具体的には、スピア・フィッシング・メッセージは
スピア・フィッシング攻撃は、フィッシング攻撃よりもはるかにまれですが、より大きな、またはより価値のある報酬を追求し、成功すると、一括フィッシング詐欺よりもはるかに大きな影響を及ぼします。最近のあるレポートによると、スピア・フィッシングEメールは12か月間のEメール全体のわずか0.1％を占めるに過ぎないが、同じ12か月間のデータ侵害の66％を占めています。ある注目を集めたスピア・フィッシング攻撃では、詐欺師が正規のベンダーを装い、従業員を騙して不正な請求書を支払わせ、FacebookとGoogleから1億米ドル以上を盗みました。
スピア・フィッシング攻撃は、一括フィッシング攻撃よりも特定を困難にし、より説得力のあるいくつかのストラテジーを採用します。
標的型攻撃の信頼性を高めるために、スピア・フィッシング攻撃者は送信者とそのターゲットを調査します。これにより、送信者を効果的になりすまし、ターゲットに信頼できるストーリーを提示します。
多くのスピア・フィッシング攻撃者は、ソーシャル・メディアを通じて送信者と被害者を設定します。人々がソーシャル・メディアやその他のオンライン上で自由に情報を共有することで、サイバー犯罪者は詳細を深く調べずに関連情報や詳細情報を見つけることができるようになりました。例えば、被害者のLinkedInページを調べることで、詐欺師は従業員の職務責任をよりよく理解し、組織が使用しているベンダーを知ることができます。これにより、架空の請求書の信頼できる送信者になりすますことができます。
Omdia社のレポートによると、ハッカーは一般的なGoogle調査を行った後、非常に短時間で説得力のあるスピア・フィッシングEメールを作成できるとのことです。ハッカーの中には、会社のEメール・アカウントやメッセージング・アプリをハッキングし、関係に関するより詳細なコンテキストを収集するために会話を観察することに多くの時間を費やす場合があります。
ソーシャル・エンジニアリング戦術では、心理的な操作を利用して人々を騙し、誤った前提を信じ込ませたり、賢明でない行動を取らせたりします。スピア・フィッシング詐欺師は、調査に基づいてメッセージの一部として信憑性のある状況、すなわち口実を巧妙に作り出すことが可能です。例えば、「土地取引の件で新しい法律事務所を利用することに決定いたしました。添付の請求書に記載されている着手金のお支払いを、お手数ですがお振り込みいただけますようお願い申し上げます。」といった内容です。また「支払いはすでに期限を過ぎているので、延滞金を避けるために午前0時までに送金してください」など。緊急性を演出することで、受信者に軽率な行動を誘導する可能性があります。中には、詐欺を秘密にしておくために「今週末に取引が発表されるまで、このことは口外しないでください。」といったメッセージを使ってソーシャル・エンジニアリングを利用する者さえいます。
ますます、スピア・フィッシング詐欺は、信頼性を高めるために複数のメディアからのメッセージを組み合わせます。例えば、スピア・フィッシング・メッセージには、ターゲットが確認のために電話をかけることができる電話番号が含まれています。実際には不正な担当者が回答することになります。一部の詐欺師は、スピア・フィッシングEメールに続いて、不正なSMSテキスト・メッセージ（スミッシングと呼ばれます）を送信します。最近の詐欺師は、スピア・フィッシングEメールに続いて、人工知能を利用した送信者の声のなりすましを使った偽の電話（ビッシングと呼ばれます）を使用しています。
スピア・フィッシング攻撃は、攻撃のターゲットやなりすます人物に基づいて、サブタイプにさらに分類されます。
ビジネスメール詐欺（BEC）とは、スピア・フィッシングEメール詐欺の一種で、企業から金銭や機密データを盗み出そうとするものです。
BEC攻撃では、サイバー犯罪者（またはサイバー犯罪組織）が、組織の従業員に、マネージャーや同僚、または受信者が知っているベンダー、パートナー、顧客、その他の関係者から送信されたように見えるEメールを送信します。このEメールは、従業員を騙して不正な請求書を支払わせたり、偽の銀行口座に電信送金させたり、機密情報を必要としているとされる人物に機密情報を送信させたりするために書かれています。まれに、BEC詐欺師は被害者に添付ファイルを開いたり、悪意のあるリンクをクリックしたりするよう求めて、ランサムウェアやマルウェアを拡散させようとすることがあります。
一部のBEC詐欺師は、送信者のEメールの認証情報（ユーザー名とパスワード）を盗んだり入手したりして、その送信者の実際のアカウントからEメールを直接送信するという追加の手順を踏みます。これにより、この詐欺Eメールは、最も巧妙に偽装されたEメールアカウントから送信されたものよりも、より本物らしく見えるようになります。
CEO詐欺と呼ばれる特別なタイプのBEC攻撃では、詐欺師は上級幹部になりすまして、下位の従業員に資金を送金したり、機密データを開示したりするように圧力をかけます。
ホエール・フィッシングは、役員、経営幹部、著名人や政治家などの企業以外のターゲットを含む、最も知名度が高く、最も価値の高い被害者、つまり「ホエール（大物）」をターゲットとするスピア・フィッシング攻撃です。ホエール・フィッシング攻撃者は、これらの個人が、多額の現金、非常に価値のある情報または機密性の高い情報へのアクセス、保護する価値のある評判など、価値の高いターゲットだけが提供できるものの所有者であることを知っています。当然のことですが、ホエーリング攻撃は通常、他のスピア・フィッシング攻撃よりも詳細な調査が必要です。
2022年8月、クラウドベースの通信大手のTwilio社は、高度なスピア・フィッシング攻撃を受け、ネットワークが侵害されました。
フィッシング詐欺師は、会社のIT部門から送信されたように見える偽のSMSテキスト・メッセージを使用して、Twilio社の従業員を標的にしました。メッセージは、従業員のパスワードが期限切れになっているか、スケジュールが変更されていると主張し、偽のWebサイトに誘導し、認証情報の再入力を要求しました。フィッシング詐欺をより現実的なものにするために、ハッカーは偽のWebサイトのURLに「Twilio」、「Okta」、「SSO」（シングル・サインオン）を含め、従業員に悪意のあるリンクをクリックさせるよう誘導しました。
詐欺師は、メッセージに騙された従業員の認証情報を使用して、Twilio社の企業ネットワークに侵入しました。
このフィッシング詐欺がニュースになったのは、その巧妙さ（ある専門家はこれを「歴史上最も巧妙な長期ハッキングの一つ」と呼んでいる）だけでなく、Twilio社が他の多くのテクノロジー企業にサービスを提供するB2B企業としてのユニークな立場にあるためでもあります。その結果、複数のテクノロジー企業がフィッシング詐欺に巻き込まれることになりました。これにはTwilio社が所有する2要素認証サービスであるAuthyや、SMS検証サービスにTwilioを使用した暗号化メッセージング・アプリのSignalなどが含まれます。
最終的に、Twilio社への攻撃は1,900件のSignalアカウントを含む163を超える顧客組織に影響を与えました。さらに、Twilio社が受けたようなスピア・フィッシング攻撃がますます一般的になりつつあることも証明されました。
Eメール・セキュリティー・ツール、ウイルス対策ソフトウェア、多要素認証はすべて、フィッシングやスピア・フィッシングに対する重要な第一防衛線です。組織もまた、フィッシングやスピア・フィッシング攻撃の危険性や施策について従業員を教育するために、セキュリティー意識向上トレーニングやフィッシング・シミュレーションへの依存度が高まっています。
ただし、サイバー犯罪者をリアルタイムで捕捉し、フィッシング・キャンペーンの影響を軽減する最先端の脅威検知と対応機能がなければ、完全なセキュリティー・システムは完成しません。
