ホーム Topics スピア・フィッシングとは スピアフィッシングとは何ですか?
IBMのスピア・フィッシング・ソリューションの詳細はこちら セキュリティー・トピックの最新情報を購読する
雲、携帯電話、指紋、チェックマークのピクトグラムのコラージュ付きイラスト
スピアフィッシングとは何ですか?

スピア・フィッシングとは、フィッシング攻撃の一種で、組織内の特定の個人またはグループを標的とし、その個人を騙して機密情報を漏えいさせたり、マルウェアをダウンロードさせたり、あるいは無意識のうちに攻撃者に支払いを承認させようとするものです。

すべてのフィッシング詐欺と同様に、スピア・フィッシングは、Eメール、テキストメッセージ、電話を通じて実行されます。その違いは、何千人、何百万人という潜在的な被害者を対象とした「一括フィッシング」ではなく、スピア・フィッシャーは、特定の個人やグループ(例えば、企業の地域営業部長)を対象とし、広範な調査に基づいてパーソナライズされた詐欺を行う点にあります。

IBMの「Cost of a Data Breach 2022」レポートよると、2022年のデータ侵害の原因として、フィッシングが2番目に多いと報告されています。McKinsey社は、 スピア・フィッシング攻撃の数は、パンデミックの開始後に約7倍に増加 したと指摘しています。サイバー犯罪者は、セキュリティー衛生が緩く、主にEメールやチャットアプリを通じて同僚や上司と共同作業を行う習慣があるため、フィッシング詐欺に遭いやすいリモートワーカーの増加に乗じています。

IBMのレポートでは、フィッシング攻撃の1件あたりの平均コストが491万ドルと最大でしたが、スピア・フィッシング攻撃のコストはその額を大幅に上回る可能性があることも判明しました。例えば、ある注目を集めた攻撃では、スピア・フィッシングの攻撃者が正規のベンダーを装い、従業員を騙して不正な請求書を支払わせることで、FacebookとGoogleから1億米ドル以上を盗みました

データ侵害のコスト

最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。

関連コンテンツ

X-Force Threat Intelligenceインデックスに登録する

スピアフィッシング攻撃の仕組み

古典的な一括フィッシング攻撃では、ハッカーは、有名な企業、組織、さらには有名人から送信されたように見える詐欺メッセージを作成します。そして、できるだけ多くの人に無差別にフィッシング・メッセージを送りつけ、少なくとも一握りの人が騙されて社会保障番号やクレジットカード番号、口座のパスワードなどの貴重な情報を教えてくれることを期待します。

一方、スピア フィッシング攻撃は、特定の資産にアクセスできる特定の個人を狙った標的型攻撃です。

目標を設定する

ほとんどのスピア・フィッシング攻撃は、誰かを騙して詐欺業者や銀行口座に支払いや電信送金をさせたり、クレジットカード番号や銀行口座番号、その他の機密データやセンシティブなデータを漏洩させたりすることで、組織から多額の金銭を盗むことを目的としています。

しかし、スピア フィッシング キャンペーンには別の有害な目的がある可能性があります。

  • ランサムウェアやその他のマルウェアの拡散 - たとえば、脅威アクターは、開くとマルウェアをインストールするMicrosoft Excelファイルなどの悪意あるEメール添付ファイルを送信する可能性があります。

  • ユーザー名やパスワードなどの資格情報を盗み、ハッカーがそれを使用して大規模な攻撃を仕掛けることができます。たとえば、ハッカーはターゲットに、詐欺的な「パスワードの更新」Web ページへの悪意のあるリンクを送信する可能性があります。

  • 顧客や従業員の個人データ、企業財務情報、企業秘密などの個人データや機密情報を盗むことです。

1つ以上のターゲットの選択

次に、スピア・フィッシャーは適したターゲットを特定します。ハッカーが望むリソースに直接アクセスできる、あるいはマルウェアをダウンロードすることで間接的にアクセスを提供できる人物やグループです。

多くの場合、スピア・フィッシングの試みは、ネットワークまたはシステムへの高いアクセス権限を持つ中堅、下位レベル、または新入社員をターゲットにしており、これらの従業員は会社のポリシーや手順に従うことがそれほど厳格ではない可能性があります。典型的な被害者には、支払いを許可された財務管理者、ネットワークへの管理者レベルのアクセス権を持つIT管理者、従業員の個人データへのアクセス権を持つ人事管理者が含まれます。(他の種類のスピア・フィッシング攻撃は、経営幹部レベルの従業員のみをターゲットとします。以下の「スピア・フィッシング、ホエーリング、BEC」を参照してください。)

ターゲットを調査する

攻撃者は、ターゲットに近い人物(ターゲットが信頼する個人や組織、またはターゲットが責任を負っている人物)になりすますために使用できる情報を得るためにターゲットを調査します。

人々がソーシャル・メディアやその他のオンライン上で自由に共有する情報の量のおかげで、サイバー犯罪者はあまり深く調べずにこの情報を見つけることができます。Omdiaのレポートによると、ハッカーは一般的なGoogle検索を100分ほど行えば、説得力のあるスピア・フィッシングメールを作成できます。ハッカーの中には、会社のEメール・アカウントやメッセージング・アプリに侵入し、より詳細な情報を収集するために会話を観察することにさらに時間を費やす場合があります。

メッセージの作成と送信

この調査結果を利用して、スピア フィッシング詐欺師は、信頼できる情報源または個人から、信頼できるように見える標的を絞ったフィッシング メッセージを作成できます。

たとえば、「ジャック」がABC Industriesの買掛金マネージャーであると想像してください。攻撃者は、ジャックが公開しているLinkedInプロフィールを見るだけで、ジャックの役職、職務、会社のEメールアドレス、部署名、上司の名前と役職、ビジネス・パートナーの名前と役職を見つけることができる可能性があります。次に、これらの詳細を使用して、上司または部門長からの信憑性のあるメールを送信します。

こんにちはジャック、

XYZ Systems からの請求書を処理していることは知っています。彼らは支払いプロセスを更新しており、今後の支払いはすべて新しい銀行口座に送金する必要があると連絡を受けました。新しい口座情報の詳細が記載された最新の請求書は次のとおりです。今日支払い処理を進めてください。

電子メールには通常、なりすました電子メールアドレス(例えば、なりすました送信者の表示名は表示するが、不正なEメールアドレスは隠す)、同様になりすました同僚のEメールへのCC、またはABC Industriesの会社のロゴを特徴とするEメールの署名など、一目でなりすました送信者の身元を強化する視覚的サインが含まれています。一部の詐欺師は、なりすました送信者の実際のEメールアカウントをハッキングし、そこからメッセージを送信することで、極めて高い信頼性を実現します。

もうひとつの方法は、Eメールとテキスト・メッセージ・フィッシング(SMSフィッシングまたはスミッシングと呼ばれます)または音声フィッシング(ビッシングと呼ばれます)を組み合わせることです。たとえば、Eメールでは、請求書を添付する代わりに、詐欺師が担当するXYZ Systemsの買掛部門に電話するようジャックに指示する場合があります。

スピアフィッシング攻撃とソーシャルエンジニアリング

スピア・フィッシング攻撃は、ソーシャル・エンジニアリングの手法を多用します。心理的なプレッシャーやモチベーションを利用して、人々をだましたり操作したりして、本来してはいけない行動や通常は取らない行動を取らせる手法があります。

上記のスピア フィッシング メールのように、企業の高官になりすますことはその一例です。従業員は権威を尊重するように条件づけられており、たとえその命令が常識外であっても、役員の命令に従わないことを無意識のうちに恐れています。スピア フィッシング攻撃は、次のような他のソーシャル エンジニアリング手法に依存します。

  • プリ・テキスティング:ターゲットが認識し、関連付けることができる現実的なストーリーや状況をでっち上げます。例:「パスワードの有効期限がもうすぐ切れます...

  • 緊迫感を演出:例えば、ベンダーを装ったり、重要なサービスの支払いが遅れていると請求したりします。

  • 感情や潜在意識に訴えかける:ターゲットの恐怖心、罪悪感、貪欲さを引き出そうとする、ターゲットが気にかけている原因や出来事に言及する、あるいは単に役に立とうとします。例えば、『あなたが探していたコンピューター部品を購入できるWebサイトのリンクはこちらです』

ほとんどのスピア・フィッシング・キャンペーンは、複数のソーシャル・エンジニアリングの手法を組み合わせたものです。たとえば、ターゲットのダイレクト・マネージャーからのメモには、『これから飛行機に飛び乗るところだが、バッテリーが切れそうだ』

ソーシャル エンジニアリングの詳細
スピアフィッシング、捕鯨、BEC

特定の個人またはグループをターゲットとするフィッシング攻撃はすべてスピア・フィッシング攻撃ですが、注目すべきサブタイプがいくつかあります。

ホエーリング(ホエール・フィッシングと呼ばれることもあります)とは、最も知名度が高く、最も価値のある被害者を狙うスピア・フィッシングです。ターゲットは取締役会のメンバーや経営幹部であることが多いですが、有名人や政治家など企業以外の人物も対象となります。ホエーリングの攻撃者は、これらのターゲットだけが提供できる多額の現金、または非常に価値のある情報または機密性の高い情報へのアクセスを狙っています。当然のことですが、ホエーリング攻撃は通常、他のスピア・フィッシング攻撃よりも詳細な調査が必要です。

ビジネスメール詐欺(BEC)は、特に組織から金を奪うことを目的としたスピアフィッシングです。BECの2つの一般的な形式は次のとおりです。

  • CEO詐欺詐欺師は、Cレベル幹部のEメールアカウントになりすまし、あるいは直接ハッキングして、1人または複数の下級社員にメッセージを送り、詐欺口座への送金や詐欺業者からの購入を指示します。

  • Eメールアカウント侵害(EAC):詐欺師が下級従業員のEメールアカウントにアクセスします。たとえば、財務、販売、または研究開発のマネージャーが、ベンダーに不正な請求書を送信したり、他の従業員に不正な支払いや入金を指示したり、機密データへのアクセスを要求したりするためにこれを使用します。

BEC攻撃の成功は、サイバー犯罪の中でも最も多額の費用がかかる犯罪の1つです。BECの最も有名な例の1つでは、CEO(最高経営責任者)になりすましたハッカーが、会社の財務部門に4200万ユーロを不正な銀行口座に送金させた。

スピアフィッシング対策

フィッシング攻撃は、従来の(シグネチャ・ベースの)サイバーセキュリティー・ツールでは常に識別できないため、対策が最も難しいサイバー攻撃のひとつです。

スピア・フィッシング攻撃は、標的を絞った性質とパーソナライズされたコンテンツにより、一般の人にとってさらに説得力があるため、特に困難です。ただし、スピア。フィッシング攻撃を完全に防ぐことはできないにしても、組織がスピア・フィッシングの影響を軽減するために実行できる手順はいくつかあります。

セキュリティー意識向上トレーニング。スピア・フィッシングは人間の性質を利用するため、従業員のトレーニングはこれらの攻撃に対する重要な防御線となります。セキュリティ意識向上トレーニングには、以下が含まれる場合があります。

  • 不審なメールを見分けるテクニックを従業員に教える。例えば、Eメールの送信者名に不正なドメイン名がないかチェックする。

  • ソーシャル・ネットワーキング・サイトでの「過剰共有」を避けるためのヒント

  • 良い労働習慣。徹底すべき習慣 - 例: 迷惑メールの添付ファイルを開かない、第二チャネルを通じた異常な支払い要求がある、請求書を確認するためにベンダーに電話をかけない、Eメール内のリンクをクリックせずにWebサイトに直接移動する。

  • 従業員が学んだことを応用できるスピア フィッシング シミュレーション。

多要素認証と適応型認証。多要素認証(ユーザー名とパスワードに加えて1つ以上の認証情報を必要とする)や適応型認証(ユーザーが異なるデバイスや場所からログインする際に追加の認証情報を必要とする)を実装することで、ハッカーがユーザーのEメールのパスワードを盗むことができたとしても、ユーザーの電子メールアカウントにアクセスすることを防ぐことができます。

セキュリティソフトウェア。単一のセキュリティ ツールでスピア フィッシングを完全に防ぐことはできませんが、次のようないくつかのツールがスピア フィッシング攻撃を防止したり、攻撃による被害を最小限に抑えたりする役割を果たすことができます。

  • スパム フィルターや安全な電子メール ゲートウェイなどの一部の電子メール セキュリティ ツールは、スピア フィッシング メールの検出と迂回に役立ちます。

  • ウイルス対策ソフトウェアは、スピア フィッシングに起因する既知のマルウェアやランサムウェア感染を無力化するのに役立ちます。

  • 安全なWebゲートウェイやその他のWebフィルタリングツールは、スピアフィッシングメールにリンクされている悪意のあるWebサイトをブロックできます。

  • システムおよびソフトウェアのパッチは、スピア・フィッシングの攻撃者によって一般的に悪用される技術的な脆弱性を解決できます。
関連ソリューション
IBM Security QRadar SIEM

他の人が単に見逃している高度な脅威をキャッチします。QRadar SIEMは、分析とAIを活用して、脅威インテリジェンス、ネットワーク、およびユーザーの行動の異常を監視し、即時対応と修復が必要な箇所に優先順位を付けます。

QRadar SIEM ソリューションの詳細を見る
IBM Security® Trusteer Rapport

IBM Trusteer Rapport は、金融機関が小売顧客および事業顧客を保護することで、マルウェア感染やフィッシング攻撃を検出および防止できるように支援します。

Trusteer Rapportの詳細はこちら
IBM Security QRadar EDR

この洗練された使いやすいEDR(エンドポイントの検知と対応)ソリューションを使用して、サイバー攻撃からエンドポイントを保護し、異常な動作を検出し、ほぼリアルタイムに修復します。

QRadar NDRの詳細はこちら
参考情報 フィッシングに関する最新情報を常に把握

IBM Security が主催する思想的リーダーシップのブログである Security Intelligence で、フィッシングのニュース、傾向、防止技術の最新情報を入手してください。

ランサムウェアとは

ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質に取るマルウェアです。

データ侵害のコストに関する調査 2023年

17年目を迎えるこのレポートでは、拡大し続ける脅威の状況に関する最新インサイトを共有し、手間を掛けずに被害を制限するための推奨事項を提供します。

次のステップ

サイバーセキュリティーの脅威はますます高度になり、頻発しています。膨大な数のアラートやインシデントから選別しなければならないセキュリティー・アナリストの負担がますます増えています。IBM Security QRadar SIEMを使用することで、収益を維持しながら、脅威をより迅速に修復することができます。QRadar SIEMは、忠実度の高いアラートを優先して、そうでなければ見逃してしまう脅威を特定します。

QRadar SIEMの詳細はこちら デモを予約