詐欺メールを送りつける「フィッシング」は長年にわたって世界中で脅威になっているサイバー攻撃ですが、近年ではより手口が巧妙になった「スピアフィッシング」という攻撃が増えています。
スピアフィッシングは通常のフィッシングと何が違うのでしょうか?
被害を防ぐにはどのような対策が必要なのでしょうか?
本記事では、よく似た手口の「ホエーリング」とも合わせて詳しく解説します。
\クラウド環境への移行・構築運用のお悩みを解決/
・請求代行で日本円の請求書発行・支払い
・クラウド環境の構築運用保守
・安心・充実の無料サポート
クラウドマネージドサービスをみる
スピアフィッシングとは?
概要
スピアフィッシングとは、特定の個人を標的にしてログイン情報や機密データを盗むための、より巧妙なフィッシング(標的型攻撃)のことです。
英ダークトレイス社の調査によると、2024年に検知されたフィッシングのうち実に38%がスピアフィッシングであることが分かりました。
この攻撃では、信頼できる送信者を装った偽装メールを送り、ターゲットに悪意のあるリンクのクリックやマルウェア付き添付ファイルの開封を促すことで、企業ネットワークへの不正アクセスや情報窃取を狙います。
また、心理的な隙をつき、無意識のうちに支払い承認や、重要なデータの送付を行わせるケースもあります。
スピアフィッシングの主な手口
・関係者や企業の管理者を装う
・個人的な関心ごとを利用(イベント招待、プレゼント企画など)
・悪意のあるリンクのクリックを誘導(マルウェアのダウンロード、偽ログインページ)
・パスワードのリセットを装う(セキュリティ警告を偽装し、認証情報を盗む)
・金銭や機密情報の送付を要求(請求書や送金依頼の偽装)
通常のフィッシングとの違い
通常のフィッシングは、広範囲のユーザーを狙う手口であり、不特定多数の宛先を対象として送信されます。
多くの場合、大手企業やサービスを装い、一般的に関心を引く内容で被害者を騙します。
大人数に興味を引く内容や関連性の高い情報が含まれます。
例:Amazon、宅配業者、大手銀行、宝くじ当選を装ったメールなど
対してスピアフィッシングの場合は、特定の企業や個人を対象として、ターゲットに関連性の高い情報を含む精巧な攻撃です。
送信者はIT管理者や同僚、顧客など信頼できる個人を装い、防御をすり抜けるよう設計されています。
例:自社の従業員や取引先を装ったメール、会社イベントの招待状を偽装、社内システムのパスワード変更通知を装うなど
フィッシングの語源と手法の違い
サイバー攻撃のフィッシング「phishing」は、釣り・漁を意味する「fishing」をもじった造語で、ターゲットを釣り上げることを意味します。
従来のフィッシングといえば網や蒔き餌で多数の魚を捕まえるやり方でしたが、スピアフィッシングは「スピアspear(銛)」を使い、特定のターゲットを狙って攻撃する手法です。
このように、攻撃の規模や対象範囲に大きな違いがあるため、対策も異なります。
\ クラウド環境への移行・構築運用のお悩みを解決 /
クラウドマネージドサービスをみる
ホエーリングとは
概要
ホエーリング(Whaling) は、スピアフィッシングの一種で、CEOや役員などの企業の上層部をターゲットにしたサイバー攻撃です。
「ホエール whale(鯨)」という名の通り、大物を狙うスピアフィッシングと言えます。
攻撃者は、同等の役職者や顧問弁護士、投資家などを装った偽装メールで標的をだまします。
経営層は一般従業員よりも更に機密性の高い情報にアクセスでき、予算や支払いの決定権を持つため、成功すれば企業に大きな金銭的・社会的ダメージを与えられるのが狙いです。
スピアフィッシングとの違い
ホエーリングは、スピアフィッシングよりもさらに精巧で、企業の内部情報に踏み込んだ説得力のあるメッセージが特徴です。
会社が抱える訴訟問題や財務状況、経営戦略など、高度な調査によるリアルな内部情報のため、スピアフィッシングに比べてより見破るのが困難といえるでしょう。
スピアフィッシングの場合、特定の個人を狙うため、被害範囲は限定的な場合も多いのに対し、ホエーリングは企業のトップを狙うため、被害が広範囲に及び、組織全体に経済的な損害や評判の失墜をもたらす可能性があります。
スピアフィッシング対策
スピアフィッシングから身を守るために、企業はどのような対策を講じるべきでしょうか?
以下の3つのステップに分けて考えることが重要です。
・詐欺メールを未然に防ぐ(メールセキュリティの強化)
・メールに騙されるのを防ぐ(不信メールの見破り方、セキュリティ教育)
・被害の拡大を防ぐ(多要素認証の導入)
メールセキュリティの実装
スピアフィッシングやホエーリングは主にメールを利用した攻撃のため、メールサーバー側でフィッシングメールをブロックすることが最も効果的になります。
近年多くの企業が導入しているのが「送信ドメイン認証」です。
送信ドメイン認証とは、メール送信者のドメイン(アドレス@以降の部分)が正しいかを検証し、なりすましを防ぐ仕組みです。
メールを送信時に、DNSのTXTレコードに特定の文字列を設定することで、送信者の正当性を確認します。
送信ドメイン認証には、SPF・DKIM・DMARCの3種類があります。
・SPF:IPアドレスを設定して送信元を認証
・DKIM:電子署名を追加、検証を行い正当性を確認
・DMARC・・・・認証で拒否されたメールの処理方法を定義
2024年、Googleは規約を改訂し、Gmail宛てに送信されるすべてのメールに送信ドメイン認証を要求するようになりました。
未対応のメールは受信拒否または迷惑メール扱いとなるため、企業にとって導入は必須といえるでしょう。
皆さんも迷惑メールなど、よく受け取るのではないでしょうか。最近は、迷惑メール、なりすましメールなど、セキュリティに関するメー...
\ クラウド環境への移行・構築運用のお悩みを解決 /
クラウドマネージドサービスをみる
不審メールを見破るためのアプローチ
送信ドメイン認証はかなりの効果を発揮するものの、それでも届いてしまった不審メールについては、受信者個人で見破るしかありません。
従業員が送信元や内容を確認し、不審なメールの開封・リンククリック・添付ファイルの開封をしないことが大切です。
不審メールの選別ポイント
①送信元ドメインの確認
・送信者名ではなく、必ず送信メールアドレス全体を1文字ずつ確認する。
・メールのヘッダ情報なども参照し、正しい組織からの発信かどうか確認する。
②本文の確認
・スペルミスや不自然な文章がないか確認する。
・緊急感を煽ったり、機密情報を即座に求めたりする内容は特に注意する。
③クロスチェック(取引先に電話で確認など)
・自分で判別がつかない場合は、社内のシステム担当者やセキュリティ窓口に相談。
・送信元が取引先や同僚の場合、電話など別の手段で確認する。
セキュリティ教育と訓練の実施
①情報セキュリティ教育(定期実施)
・最新のフィッシング手口やセキュリティ対策を周知する。
・全社員が対象(役職、階層に関係なく受講を徹底する)
②模擬フィッシング訓練
・抜き打ちでフィッシングメールを送信し、認識テストを実施する。
・結果を集計し、意識が低い部門や個人に対しては追加トレーニングを行う。
③報告ルールの徹底
・なるべく簡単に報告できる仕組みを整備(ワンクリックで報告など)
・「少しでも怪しい」と思ったらすぐに報告する意識を社内に定着させる。
多要素認証の使用
万が一、フィッシング攻撃によってID・パスワードが盗まれてしまった場合でも、多要素認証(MFA)を導入することで不正アクセスを防げます。
多要素認証(Multi-Factor Authentication)とは、ログイン時にID・パスワードに加え、生体認証などもう1つの認証要素を要求する技術のことです。
ID・パスワードが窃取された場合でも、攻撃者からの不正ログインを防げるのでセキュリティ強度が大幅に向上するでしょう。
ただし、MFA自体も完璧ではなく、フィッシング詐欺でワンタイムパスワードを盗まれるケースもあるため、慎重な運用が必要です。
2024.04.04
MFA (多要素認証)とは。次世代セキュリティの鍵について解説!
最近、セキュリティのニーズの高まりの中でよく使われるようになっているのが「MFA(多要素認証)」です。MFAは、情報漏洩や不正ア...
\ クラウド環境への移行・構築運用のお悩みを解決 /
クラウドマネージドサービスをみる
スピアフィッシングの被害事例
最後に、スピアフィッシング(ホエーリング)によって引き起こされた重大なインシデントを2例紹介します。
2015年日本年金機構の情報流出事件
| 日本年金機構の職員が、業務関連を装った標的型メールの添付ファイルを開封したことでマルウェアに感染し125万件の個人情報が流出しました。 このメールは、外部非公開の職員メールアドレス100人以上に送信され、複数台のパソコンが感染。結果的に20台以上のパソコンが攻撃者に遠隔操作される事態にとなりました。 |
この事件は、政府レベルの対応を必要とする大規模インシデントとなり、首相や厚労大臣が記者会見を開き、第三者委員会が設置されるなど、社会的な影響が大きかった事件です。
教訓:業務メールであっても、不審な添付ファイルは開かないことが重要。また、メールセキュリティ対策や従業員の意識向上が不可欠です。
2018年パテ社のCEOなりすまし詐欺(ホエーリング)
| ヨーロッパの映画館チェーン「パテ」のオランダ支社の最高財務責任者(CFO)は、CEOを装ったメールを受信し、指示に従って約2,000万ユーロ(約30億円)を送金する被害に遭いました。犯人は極秘のM&A取引を装い、複数回に渡って送金指示を送付。CFOはメールを本物と信じ込み、指示通りに資金を振り込んでしまいました。 |
このケースは、CEOを装ってCFOを騙す典型的なホエーリング攻撃の例であり、攻撃者の文面が極めて巧妙であったことが伺えます。
教訓:重要な送金指示は、必ず別の手段(電話や直接確認)でクロスチェックすることが重要。特に経営層向けのセキュリティ教育とホエーリング対策が不可欠です。
まとめ
本記事では、スピアフィッシングとホエーリングの特徴や違い、対策方法について解説しました。
フィッシング攻撃は年々巧妙化し、企業規模や業種を問わず深刻な脅威となっています。
「自社は狙われない」と油断せず、送信ドメイン認証の導入やセキュリティ教育の強化 など、組織で徹底的に対策をするようにして強固な防御体制を築いていきましょう。
クラウドマネージドならWinserverにお任せ
Winserverのクラウドマネージド
Winserverのクラウドマネージドは、請求代行・初期構築・運用まで様々な面でサポートさせていただきます。
ホスティング事業を20年以上運用する中で培ったインフラエンジニアの知見を活かして、クラウド環境への移行・構築運用のお悩みを解決します。
請求代行サービス
クラウドサービスを利用する際、気を付けなければいけないのが支払い条件です。
クラウドサービスの請求は、ドル建て、クレジットカード決済が多く、会社のルールによっては導入できない場合があります。
Winserverのクラウドマネージドでは支払い関連のお悩みを請求代行サービスで解決いたします。
Winserverで支払いを代行することで円建てでの請求書発行、支払いが可能となります。
構築運用サービス
クラウド環境の構築・運用・保守をサポートするサービスです。
データの移行、テレワーク環境構築、監視・運用代行のサービスや現在利用中のクラウドサービスを最適化するコンサルティングサービスなど、多岐にわたりクラウド環境をサポートいたします。
まずはWinserverにご相談ください
担当者とのお打合せをご希望の場合はこちら
Winserverでは、お客様一人ひとりにあわせて最適なサービスプランをご提案いたします。
「AWSと専用サーバーのどちらが良いか迷っている」「マネージドの依頼範囲を相談したい」など、担当者とのお打合せを希望される場合は、オンライン個別相談会にお申込みください。
お見積のご依頼、構成のご相談はこちら
お見積のご依頼やその他構成などのご相談は、お問い合わせフォームからご連絡ください。
最大1営業日以内にご返信いたします。
メールや電話によるサポートが充実しており、サーバーを初めてご利用の方の疑問にも専門のスタッフが丁寧にお答えします。
お電話でのお問い合わせ:0120‐951‐168
【 平日 】9:00~12:00 / 13:00~17:00
クラウドマネージド紹介資料
クラウドマネージドは、クラウドの初期構築や運用を、Winserverが代行するサービスです。
お客様のご要望に合わせて、クラウド導入における様々な課題の解決を支援します。
本資料では、サービス内容、ご依頼いただくメリット、対応例をご紹介しています。
クラウドマネージド紹介資料
クラウドマネージドは、クラウドの初期構築や運用を、Winserverが代行するサービスです。
お客様のご要望に合わせて、クラウド導入における様々な課題の解決を支援します。
本資料では、サービス内容、ご依頼いただくメリット、対応例をご紹介しています。
