FE EXAM

スピアフィッシング(狙った相手だけを突く釣り)

特定の個人や組織に的を絞って巧妙に仕立てたフィッシング攻撃。

DIAGRAM
通常フィッシング
スピアフィッシング
狙われる個人
ばらまき型と違い、狙った1人に合わせて作り込んだメールを送る通常のフィッシング(ばらまき型)👤同じ内容を大量送信同じ内容を大量送信同じ内容を大量送信誰か1人でも引っかかればよいスピアフィッシング(狙い撃ち型)👤下調べ済み「○○部長より、△△の件で」実名・業務内容を盛り込んだメール🧑狙われた本人
解説

📌
スピアフィッシングとは

銛(spear)で狙った1人だけを突く攻撃者相手を調査特定の個人1人を狙い撃ち

スピアフィッシングとは、特定の個人や組織に的を絞り、相手の業務や人間関係を調べたうえで巧妙に仕立てたフィッシングのことです。フィッシング(=本物を装って情報を盗む攻撃)の一種です。

名前の「スピア(spear)」は「銛(もり)」を意味します。網で魚を一網打尽にするのではなく、狙った1匹を銛でピンポイントに突く──このイメージが、特定の相手だけを狙う手口にぴったり重なります。

攻撃者は事前にSNSや会社のサイトから相手の名前・役職・取引先などを集め、その人にとって自然に見えるメールを作ります。上の図解のように、下調べした情報を武器に1人を狙い撃ちするのが基本形です。

📌
通常との違い

通常フィッシング不特定多数へ同じ内容を大量送信スピアフィッシング特定の相手へ内容を作り込む

通常のフィッシングとスピアフィッシングは、「誰を狙うか」「どこまで作り込むか」が大きく違います。
通常のフィッシング:不特定多数に同じ内容のメールをばらまき、誰か1人でも引っかかればよいという考え方
スピアフィッシング:特定の相手だけを狙い、その人の実名・役職・取引内容などを盛り込んで作り込む

ばらまき型は内容が当たり障りなく、誰にでも送れる代わりに不自然さが残りがちです。一方スピアフィッシングは、「自分宛ての本物の連絡」だと信じてしまうほど自然に作られているため、見分けるのが格段に難しくなります。

身近な例で考えると、不特定多数に配るチラシと、あなたの名前・部署を知ったうえで届く一通の手紙の違いです。後者のほうが「自分に関係ある」と感じてつい開いてしまうのと同じ理屈です。

📌
対策

怪しい依頼送金・情報提供別経路で確認電話などメールだけで判断しない

スピアフィッシングは本物そっくりに作られているため、次のような対策を組み合わせます。
別経路で本人確認:送金や重要な情報提供を求められたら、メールに返信せず電話など別の手段で本人に確認する
教育・訓練:不審な添付やリンクを開かないよう従業員を教育し、疑似メールでの訓練も行う
差出人・ドメインの確認:差出人アドレスやドメイン(=送信元の住所のこと)が正規のものか確認する

とくに重要なのは、「実名や肩書きが書いてあるから本物」と思い込まないことです。攻撃者はそれらを調べて装っているので、肩書きや知っている名前は本物の証拠になりません。

合言葉は「お金や情報が動く依頼は、必ず別の手段で裏取りする」です。一手間かかっても、この確認がだまされる流れを断ち切ります。

📌
なぜ見破りにくいのか──攻撃者の下調べ

情報源SNS会社サイトニュース🦹下調べ済み知っている情報が多いほど「本物らしい」メールになる

スピアフィッシングが見破りにくい一番の理由は、攻撃者が事前に十分な下調べをしているからです。メールを送る前に、標的の個人情報をできる限り集めます。

攻撃者が情報を集める主な手段は次のとおりです。
SNS(ソーシャルメディア):氏名・勤務先・肩書き・交友関係・写真・最近の出来事などを公開情報から収集
会社の公式サイト:部署名・役職・代表者名・取引先などを確認
ニュース・プレスリリース:最近の業務トピック(合併・新製品・プロジェクト名など)を把握

こうして集めた情報を組み込んだメールには、受信者の実名・取引先名・進行中の業務の話題などが自然に含まれます。知り合いから来たと思い込んでしまうのは当然で、メールの内容を信じるかどうかではなく、送られる状況そのものが本物に見えるように仕組まれています。

つまり「知っている名前が書いてある」「自分の仕事の内容に触れている」といった要素は、下調べによって意図的に仕込まれたものであり、本物の証拠にはなりません。

📌
似た名前の攻撃との違い

フィッシングメール・大量スミッシングSMS・テキストヴィッシング音声・電話「本物になりすます」手口の3種類スピアはこれらの「狙い打ち版」

フィッシングに似た名前の攻撃がいくつかあります。使う手段(メール・SMS・電話)が違うだけで、「本物になりすまして情報を盗む」という目的は同じです。

攻撃名使う手段狙い方
フィッシングメール(大量送信)不特定多数
スピアフィッシングメール(作り込み)特定の個人・組織
スミッシングSMS(テキストメッセージ)主に不特定多数
ヴィッシング音声通話・電話不特定〜特定まで

スミッシング(smishing)とは、SMS(=携帯のショートメッセージ)を使ったフィッシングです。「宅配便の不在通知」などを装ったリンクをテキストで送りつけます。ヴィッシング(vishing)とは、音声通話(voice)を使ったフィッシングで、電話口で「銀行のカード部門です」などと名乗ってカード番号を聞き出そうとします。

どの手口も共通するのは、「あなたが信頼している相手・機関のふりをする」点です。手段がメールか電話かSMSかに関わらず、急かす・脅す・お得な話などで判断力を下げ、冷静に考えさせないようにするのが攻撃者の常套手段です。怪しいと感じたら、その場で返答せず時間を置いて確認することが大切です。

練習問題

🎯
基本情報技術者 練習問題

Q1.スピアフィッシングの説明として最も適切なものはどれか。
A.特定の個人や組織に的を絞り、相手に合わせて巧妙に仕立てたフィッシング
B.不特定多数に同じ内容のメールを大量にばらまくフィッシング
C.サーバを過負荷にしてサービスを止める攻撃
D.通信経路を暗号化して盗聴を防ぐ技術
Q2.通常のフィッシングとスピアフィッシングの違いとして適切なものはどれか。
A.スピアフィッシングは特定の相手向けに内容を作り込むため、本物と見分けにくい
B.スピアフィッシングは無差別に大量送信するので発見されやすい
C.スピアフィッシングは暗号化された通信だけを狙う
D.両者に違いはなく、呼び方が異なるだけである
Q3.スピアフィッシングへの対策として適切でないものはどれか。
A.送金や情報提供の依頼は、メール以外の手段で本人に確認する
B.不審な添付やリンクを開かないよう従業員を教育・訓練する
C.実名や肩書きが書かれていれば本物と判断し、すぐ対応する
D.差出人アドレスやドメインが正規のものか確認する

関連コンテンツ