特定の個人や組織に的を絞って巧妙に仕立てたフィッシング攻撃。
スピアフィッシングとは、特定の個人や組織に的を絞り、相手の業務や人間関係を調べたうえで巧妙に仕立てたフィッシングのことです。フィッシング(=本物を装って情報を盗む攻撃)の一種です。
名前の「スピア(spear)」は「銛(もり)」を意味します。網で魚を一網打尽にするのではなく、狙った1匹を銛でピンポイントに突く──このイメージが、特定の相手だけを狙う手口にぴったり重なります。
攻撃者は事前にSNSや会社のサイトから相手の名前・役職・取引先などを集め、その人にとって自然に見えるメールを作ります。上の図解のように、下調べした情報を武器に1人を狙い撃ちするのが基本形です。
通常のフィッシングとスピアフィッシングは、「誰を狙うか」と「どこまで作り込むか」が大きく違います。
・通常のフィッシング:不特定多数に同じ内容のメールをばらまき、誰か1人でも引っかかればよいという考え方
・スピアフィッシング:特定の相手だけを狙い、その人の実名・役職・取引内容などを盛り込んで作り込む
ばらまき型は内容が当たり障りなく、誰にでも送れる代わりに不自然さが残りがちです。一方スピアフィッシングは、「自分宛ての本物の連絡」だと信じてしまうほど自然に作られているため、見分けるのが格段に難しくなります。
身近な例で考えると、不特定多数に配るチラシと、あなたの名前・部署を知ったうえで届く一通の手紙の違いです。後者のほうが「自分に関係ある」と感じてつい開いてしまうのと同じ理屈です。
スピアフィッシングは本物そっくりに作られているため、次のような対策を組み合わせます。
・別経路で本人確認:送金や重要な情報提供を求められたら、メールに返信せず電話など別の手段で本人に確認する
・教育・訓練:不審な添付やリンクを開かないよう従業員を教育し、疑似メールでの訓練も行う
・差出人・ドメインの確認:差出人アドレスやドメイン(=送信元の住所のこと)が正規のものか確認する
とくに重要なのは、「実名や肩書きが書いてあるから本物」と思い込まないことです。攻撃者はそれらを調べて装っているので、肩書きや知っている名前は本物の証拠になりません。
合言葉は「お金や情報が動く依頼は、必ず別の手段で裏取りする」です。一手間かかっても、この確認がだまされる流れを断ち切ります。
スピアフィッシングが見破りにくい一番の理由は、攻撃者が事前に十分な下調べをしているからです。メールを送る前に、標的の個人情報をできる限り集めます。
攻撃者が情報を集める主な手段は次のとおりです。
・SNS(ソーシャルメディア):氏名・勤務先・肩書き・交友関係・写真・最近の出来事などを公開情報から収集
・会社の公式サイト:部署名・役職・代表者名・取引先などを確認
・ニュース・プレスリリース:最近の業務トピック(合併・新製品・プロジェクト名など)を把握
こうして集めた情報を組み込んだメールには、受信者の実名・取引先名・進行中の業務の話題などが自然に含まれます。知り合いから来たと思い込んでしまうのは当然で、メールの内容を信じるかどうかではなく、送られる状況そのものが本物に見えるように仕組まれています。
つまり「知っている名前が書いてある」「自分の仕事の内容に触れている」といった要素は、下調べによって意図的に仕込まれたものであり、本物の証拠にはなりません。
フィッシングに似た名前の攻撃がいくつかあります。使う手段(メール・SMS・電話)が違うだけで、「本物になりすまして情報を盗む」という目的は同じです。
| 攻撃名 | 使う手段 | 狙い方 |
|---|---|---|
| フィッシング | メール(大量送信) | 不特定多数 |
| スピアフィッシング | メール(作り込み) | 特定の個人・組織 |
| スミッシング | SMS(テキストメッセージ) | 主に不特定多数 |
| ヴィッシング | 音声通話・電話 | 不特定〜特定まで |
スミッシング(smishing)とは、SMS(=携帯のショートメッセージ)を使ったフィッシングです。「宅配便の不在通知」などを装ったリンクをテキストで送りつけます。ヴィッシング(vishing)とは、音声通話(voice)を使ったフィッシングで、電話口で「銀行のカード部門です」などと名乗ってカード番号を聞き出そうとします。
どの手口も共通するのは、「あなたが信頼している相手・機関のふりをする」点です。手段がメールか電話かSMSかに関わらず、急かす・脅す・お得な話などで判断力を下げ、冷静に考えさせないようにするのが攻撃者の常套手段です。怪しいと感じたら、その場で返答せず時間を置いて確認することが大切です。