スピア・フィッシングとは、フィッシング攻撃の一種で、組織内の特定の個人またはグループを標的とし、その個人を騙して機密情報を漏えいさせたり、マルウェアをダウンロードさせたり、あるいは無意識のうちに攻撃者に支払いを承認させようとするものです。
すべてのフィッシング詐欺と同様に、スピア・フィッシングは、Eメール、テキストメッセージ、電話を通じて実行されます。その違いは、何千人、何百万人という潜在的な被害者を対象とした「一括フィッシング」ではなく、スピア・フィッシャーは、特定の個人やグループ(例えば、企業の地域営業部長)を対象とし、広範な調査に基づいてパーソナライズされた詐欺を行う点にあります。
IBMの「Cost of a Data Breach 2022」レポートよると、2022年のデータ侵害の原因として、フィッシングが2番目に多いと報告されています。McKinsey社は、 スピア・フィッシング攻撃の数は、パンデミックの開始後に約7倍に増加 したと指摘しています。サイバー犯罪者は、セキュリティー衛生が緩く、主にEメールやチャットアプリを通じて同僚や上司と共同作業を行う習慣があるため、フィッシング詐欺に遭いやすいリモートワーカーの増加に乗じています。
IBMのレポートでは、フィッシング攻撃の1件あたりの平均コストが491万ドルと最大でしたが、スピア・フィッシング攻撃のコストはその額を大幅に上回る可能性があることも判明しました。例えば、ある注目を集めた攻撃では、スピア・フィッシングの攻撃者が正規のベンダーを装い、従業員を騙して不正な請求書を支払わせることで、FacebookとGoogleから1億米ドル以上を盗みました。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
X-Force Threat Intelligenceインデックスに登録する
古典的な一括フィッシング攻撃では、ハッカーは、有名な企業、組織、さらには有名人から送信されたように見える詐欺メッセージを作成します。そして、できるだけ多くの人に無差別にフィッシング・メッセージを送りつけ、少なくとも一握りの人が騙されて社会保障番号やクレジットカード番号、口座のパスワードなどの貴重な情報を教えてくれることを期待します。
一方、スピア フィッシング攻撃は、特定の資産にアクセスできる特定の個人を狙った標的型攻撃です。
ほとんどのスピア・フィッシング攻撃は、誰かを騙して詐欺業者や銀行口座に支払いや電信送金をさせたり、クレジットカード番号や銀行口座番号、その他の機密データやセンシティブなデータを漏洩させたりすることで、組織から多額の金銭を盗むことを目的としています。
しかし、スピア フィッシング キャンペーンには別の有害な目的がある可能性があります。
ランサムウェアやその他のマルウェアの拡散 - たとえば、脅威アクターは、開くとマルウェアをインストールするMicrosoft Excelファイルなどの悪意あるEメール添付ファイルを送信する可能性があります。
ユーザー名やパスワードなどの資格情報を盗み、ハッカーがそれを使用して大規模な攻撃を仕掛けることができます。たとえば、ハッカーはターゲットに、詐欺的な「パスワードの更新」Web ページへの悪意のあるリンクを送信する可能性があります。
顧客や従業員の個人データ、企業財務情報、企業秘密などの個人データや機密情報を盗むことです。
次に、スピア・フィッシャーは適したターゲットを特定します。ハッカーが望むリソースに直接アクセスできる、あるいはマルウェアをダウンロードすることで間接的にアクセスを提供できる人物やグループです。
多くの場合、スピア・フィッシングの試みは、ネットワークまたはシステムへの高いアクセス権限を持つ中堅、下位レベル、または新入社員をターゲットにしており、これらの従業員は会社のポリシーや手順に従うことがそれほど厳格ではない可能性があります。典型的な被害者には、支払いを許可された財務管理者、ネットワークへの管理者レベルのアクセス権を持つIT管理者、従業員の個人データへのアクセス権を持つ人事管理者が含まれます。(他の種類のスピア・フィッシング攻撃は、経営幹部レベルの従業員のみをターゲットとします。以下の「スピア・フィッシング、ホエーリング、BEC」を参照してください。)
攻撃者は、ターゲットに近い人物(ターゲットが信頼する個人や組織、またはターゲットが責任を負っている人物)になりすますために使用できる情報を得るためにターゲットを調査します。
人々がソーシャル・メディアやその他のオンライン上で自由に共有する情報の量のおかげで、サイバー犯罪者はあまり深く調べずにこの情報を見つけることができます。Omdiaのレポートによると、ハッカーは一般的なGoogle検索を100分ほど行えば、説得力のあるスピア・フィッシングメールを作成できます。ハッカーの中には、会社のEメール・アカウントやメッセージング・アプリに侵入し、より詳細な情報を収集するために会話を観察することにさらに時間を費やす場合があります。
この調査結果を利用して、スピア フィッシング詐欺師は、信頼できる情報源または個人から、信頼できるように見える標的を絞ったフィッシング メッセージを作成できます。
たとえば、「ジャック」がABC Industriesの買掛金マネージャーであると想像してください。攻撃者は、ジャックが公開しているLinkedInプロフィールを見るだけで、ジャックの役職、職務、会社のEメールアドレス、部署名、上司の名前と役職、ビジネス・パートナーの名前と役職を見つけることができる可能性があります。次に、これらの詳細を使用して、上司または部門長からの信憑性のあるメールを送信します。
こんにちはジャック、
XYZ Systems からの請求書を処理していることは知っています。彼らは支払いプロセスを更新しており、今後の支払いはすべて新しい銀行口座に送金する必要があると連絡を受けました。新しい口座情報の詳細が記載された最新の請求書は次のとおりです。今日支払い処理を進めてください。
電子メールには通常、なりすました電子メールアドレス(例えば、なりすました送信者の表示名は表示するが、不正なEメールアドレスは隠す)、同様になりすました同僚のEメールへのCC、またはABC Industriesの会社のロゴを特徴とするEメールの署名など、一目でなりすました送信者の身元を強化する視覚的サインが含まれています。一部の詐欺師は、なりすました送信者の実際のEメールアカウントをハッキングし、そこからメッセージを送信することで、極めて高い信頼性を実現します。
もうひとつの方法は、Eメールとテキスト・メッセージ・フィッシング(SMSフィッシングまたはスミッシングと呼ばれます)または音声フィッシング(ビッシングと呼ばれます)を組み合わせることです。たとえば、Eメールでは、請求書を添付する代わりに、詐欺師が担当するXYZ Systemsの買掛部門に電話するようジャックに指示する場合があります。
スピア・フィッシング攻撃は、ソーシャル・エンジニアリングの手法を多用します。心理的なプレッシャーやモチベーションを利用して、人々をだましたり操作したりして、本来してはいけない行動や通常は取らない行動を取らせる手法があります。
上記のスピア フィッシング メールのように、企業の高官になりすますことはその一例です。従業員は権威を尊重するように条件づけられており、たとえその命令が常識外であっても、役員の命令に従わないことを無意識のうちに恐れています。スピア フィッシング攻撃は、次のような他のソーシャル エンジニアリング手法に依存します。
プリ・テキスティング:ターゲットが認識し、関連付けることができる現実的なストーリーや状況をでっち上げます。例:「パスワードの有効期限がもうすぐ切れます... 」
緊迫感を演出:例えば、ベンダーを装ったり、重要なサービスの支払いが遅れていると請求したりします。
感情や潜在意識に訴えかける:ターゲットの恐怖心、罪悪感、貪欲さを引き出そうとする、ターゲットが気にかけている原因や出来事に言及する、あるいは単に役に立とうとします。例えば、『あなたが探していたコンピューター部品を購入できるWebサイトのリンクはこちらです』。
ほとんどのスピア・フィッシング・キャンペーンは、複数のソーシャル・エンジニアリングの手法を組み合わせたものです。たとえば、ターゲットのダイレクト・マネージャーからのメモには、『これから飛行機に飛び乗るところだが、バッテリーが切れそうだ』。
特定の個人またはグループをターゲットとするフィッシング攻撃はすべてスピア・フィッシング攻撃ですが、注目すべきサブタイプがいくつかあります。
ホエーリング(ホエール・フィッシングと呼ばれることもあります)とは、最も知名度が高く、最も価値のある被害者を狙うスピア・フィッシングです。ターゲットは取締役会のメンバーや経営幹部であることが多いですが、有名人や政治家など企業以外の人物も対象となります。ホエーリングの攻撃者は、これらのターゲットだけが提供できる多額の現金、または非常に価値のある情報または機密性の高い情報へのアクセスを狙っています。当然のことですが、ホエーリング攻撃は通常、他のスピア・フィッシング攻撃よりも詳細な調査が必要です。
ビジネスメール詐欺(BEC)は、特に組織から金を奪うことを目的としたスピアフィッシングです。BECの2つの一般的な形式は次のとおりです。
CEO詐欺:詐欺師は、Cレベル幹部のEメールアカウントになりすまし、あるいは直接ハッキングして、1人または複数の下級社員にメッセージを送り、詐欺口座への送金や詐欺業者からの購入を指示します。
Eメールアカウント侵害(EAC):詐欺師が下級従業員のEメールアカウントにアクセスします。たとえば、財務、販売、または研究開発のマネージャーが、ベンダーに不正な請求書を送信したり、他の従業員に不正な支払いや入金を指示したり、機密データへのアクセスを要求したりするためにこれを使用します。
BEC攻撃の成功は、サイバー犯罪の中でも最も多額の費用がかかる犯罪の1つです。BECの最も有名な例の1つでは、CEO(最高経営責任者)になりすましたハッカーが、会社の財務部門に4200万ユーロを不正な銀行口座に送金させた。
フィッシング攻撃は、従来の(シグネチャ・ベースの)サイバーセキュリティー・ツールでは常に識別できないため、対策が最も難しいサイバー攻撃のひとつです。
スピア・フィッシング攻撃は、標的を絞った性質とパーソナライズされたコンテンツにより、一般の人にとってさらに説得力があるため、特に困難です。ただし、スピア。フィッシング攻撃を完全に防ぐことはできないにしても、組織がスピア・フィッシングの影響を軽減するために実行できる手順はいくつかあります。
セキュリティー意識向上トレーニング。スピア・フィッシングは人間の性質を利用するため、従業員のトレーニングはこれらの攻撃に対する重要な防御線となります。セキュリティ意識向上トレーニングには、以下が含まれる場合があります。
不審なメールを見分けるテクニックを従業員に教える。例えば、Eメールの送信者名に不正なドメイン名がないかチェックする。
ソーシャル・ネットワーキング・サイトでの「過剰共有」を避けるためのヒント
良い労働習慣。徹底すべき習慣 - 例: 迷惑メールの添付ファイルを開かない、第二チャネルを通じた異常な支払い要求がある、請求書を確認するためにベンダーに電話をかけない、Eメール内のリンクをクリックせずにWebサイトに直接移動する。
従業員が学んだことを応用できるスピア フィッシング シミュレーション。
多要素認証と適応型認証。多要素認証(ユーザー名とパスワードに加えて1つ以上の認証情報を必要とする)や適応型認証(ユーザーが異なるデバイスや場所からログインする際に追加の認証情報を必要とする)を実装することで、ハッカーがユーザーのEメールのパスワードを盗むことができたとしても、ユーザーの電子メールアカウントにアクセスすることを防ぐことができます。
セキュリティソフトウェア。単一のセキュリティ ツールでスピア フィッシングを完全に防ぐことはできませんが、次のようないくつかのツールがスピア フィッシング攻撃を防止したり、攻撃による被害を最小限に抑えたりする役割を果たすことができます。
スパム フィルターや安全な電子メール ゲートウェイなどの一部の電子メール セキュリティ ツールは、スピア フィッシング メールの検出と迂回に役立ちます。
ウイルス対策ソフトウェアは、スピア フィッシングに起因する既知のマルウェアやランサムウェア感染を無力化するのに役立ちます。
エンタープライズ セキュリティ ソリューションは、セキュリティ チームやセキュリティ オペレーション センター (SOC) が、スピア フィッシング攻撃に関連した悪意のあるトラフィックやネットワーク アクティビティを検出し、傍受するのに役立ちます。これらのソリューションには、セキュリティ・オーケストレーション、自動化および対応(SOAR)、セキュリティ・インシデントおよびイベント管理(SIEM)、エンドポイント検知および対応(EDR)、ネットワーク検知および対応(NDR)、拡張検知および対応(XDR)が含まれます(ただし、これらに限定されない)。
他の人が単に見逃している高度な脅威をキャッチします。QRadar SIEMは、分析とAIを活用して、脅威インテリジェンス、ネットワーク、およびユーザーの行動の異常を監視し、即時対応と修復が必要な箇所に優先順位を付けます。
IBM Trusteer Rapport は、金融機関が小売顧客および事業顧客を保護することで、マルウェア感染やフィッシング攻撃を検出および防止できるように支援します。
この洗練された使いやすいEDR(エンドポイントの検知と対応)ソリューションを使用して、サイバー攻撃からエンドポイントを保護し、異常な動作を検出し、ほぼリアルタイムに修復します。