いまやサイバー攻撃、サイバー犯罪による被害は、企業にとって大きな経営上のリスクとなっています。インターネットへの接続をもつあらゆる企業が対象となるため、サイバー攻撃への備えはどんな企業でも共通した課題です。これは、企業のIT基盤を狙った攻撃も、従業員を攻撃の入り口とした手口も同様です。

サイバー攻撃が多様化、高度化する中で、企業や組織に所属する特定の個人を狙った攻撃も登場しています。スピアフィッシングは、ターゲットを絞り、ターゲットに適した方法で情報を窃取するサイバー攻撃手法の一つです。企業でも、その手口を周知し、従業員と組織を被害から守ることが重要となります。

本記事では、スピアフィッシングというサイバー攻撃について、手口や事例、対策方法、被害にあった場合の行動などを解説します。まずは知ることがサイバー攻撃への対処の第一歩です。

スピアフィッシングとは

スピアフィッシングとは、特定のターゲットを標的として偽のEメールにより、情報窃取を行うサイバー攻撃手法です。

Eメールで情報窃取用のWebサイトに誘導する攻撃は以前より存在しており、これらはフィッシングと呼ばれてきました。このフィッシングの精度を高めた攻撃がスピアフィッシングです。ソーシャルエンジニアリングの手法を用い、ターゲットの興味ある相手になりすます、つい誘導されてしまう文面を用いるというところに大きな特徴があります。

フィッシングとの違い

従来のフィッシングは不特定多数をターゲットにメールをばら撒き、情報を取得する手口が多数を占めていました。多数の相手に向けた文面では不自然さがあるため、注意して対処することはそこまで難しくありませんでした。

スピアフィッシングでは価値のある情報を狙い、ターゲットの興味や関心を惹きつけるメールとなっていることが大きな違いです。メールのばら撒きによる広範囲な被害はないものの、ターゲットに価値ある情報を持つ相手を選ぶため被害が拡大することと攻撃の精度の高さが大きな脅威です。

スピアフィッシングの手法

スピアフィッシングは情報窃取を狙ったサイバー攻撃であり、システムやサービス、企業のネットワークなどへ入ることができるアカウント情報が窃取された後には、その他のサイバー攻撃や犯罪行為により被害が拡大することが予測されます。また、詳細な順序についてはトレンドの技術を用いるなどケースバイケースです。

典型的な例としては、下記の手順が挙げられます。

1. ソーシャルエンジニアリングによる情報収集
2. ターゲットの特定
3. ターゲットの興味のある偽Eメールを送付する
4. ターゲットはメール内のリンクから情報窃取用のWebサイトなどに誘導される
5. ターゲットは情報窃取用のWebサイトを信用し、機密情報などを入力する
6. 機密情報の漏洩、ITシステムやサービスの悪用、それによるさらなる情報の漏洩などの被害が発生する

スピアフィッシングの事例

スピアフィッシングにより大きな被害がでた事例を紹介します。

日本年金機構より約125万人の個人情報流出

2015年日本年金機構より約125万人の利用者の個人情報が流出したことが公表されました。マルウェアへの感染により情報の流出が起きたのですが、その発端となったのは従業員への標的型攻撃メールによるマルウェア感染であり、「スピアフィッシング」であったことが分かっています。
より具体的には、特定拠点の業務用の職員個人宛てのアドレスに、実在する職員名を騙り、業務内容に関連した本文が記載されていたことも報告されています。利用者の年金番号、氏名、生年月日や住所が流出する大きな被害に繋がっています。

国内大手旅行代理店で約793万人の個人情報流出の可能性

2016年に国内の大手旅行代理店でもサーバーに不正アクセスがあり、利用者793万人分の個人情報が流出した可能性があることが報道されました。こちらも標的型攻撃メールを発端としたスピアフィッシングの手口が利用されています。流出した情報の多さから社会的にも大きな問題となりました。

アメリカで原子力発電所を運営する企業の従業員を狙ったスピアフィッシング攻撃

2017年、アメリカでは米国で原子力発電所を運営する企業の従業員を標的にしたマルウェア攻撃が行われていることが報道されました。この攻撃は発電所の制御を行うエンジニアをターゲットとしており、もし引っかかってしまえば社会インフラが攻撃のターゲットとなってしまう危険性を孕んでいます。

バングラデシュ中央銀行から約8,100万ドルが不正送金

2016年バングラデシュ中央銀行のネットワークに侵入していた攻撃者が、総額9億5100万ドルの不正送金を指示していたことが判明しました。この指示の多くの送金は実際に行われるまでに停止できたものの、8,100万ドルの送金は実際に行われたとされています。銀行の送金指示システムへアクセスがある従業員をターゲットとして攻撃するスピアフィッシングの一種が行われたと推測されます。

スピアフィッシング対策法6選

スピアフィッシングの被害に遭わないためには、どのような対策を取るべきなのでしょうか。対策法を6つ紹介します。
スピアフィッシングは見極めが難しいため、全てを実践して対策しましょう。

メールはよく確認する

あらためて、メールはよく確認して開きましょう。知っている人からのメールに見えても、送信者アドレスまでチェックする必要があります。

不審なメールのリンクはクリックしない

メール内のリンクについては十分に気を付け、信頼に値する場合のみクリックしましょう。すでに利用中のWebサービスであれば、ブックマークから辿ることでリスクを減らせます。

個人情報や機密情報の入力を求めるサイトは疑いの目をもってチェック

Webサイトにて個人情報や機密情報の入力を求められた場合、入力の必要性について確認を行いましょう。ユーザー情報の入力などが求められるのは、よほど特殊な状況のみと心得ておきましょう。

最新の手口を知る

まずはスピアフィッシングという攻撃の手口が存在することを知っておきましょう。その上で、よく騙られる事業者やサービス名などを把握しておくと良いです。フィッシング対策協議会には、近年のフィッシングメールについて具体的な内容を記載した注意喚起が行われているためご活用下さい。

OS、ソフトウェアのアップデート適用

OSやセキュリティソフト、その他のソフトウェアでも最新アップデートを適用しておきましょう。スピアフィッシングからマルウェア感染へつなげる攻撃の場合には、セキュリティ脆弱性への対処により防げる場合も多いです。

エンドポイントセキュリティ対策ツールの導入

セキュリティ対策ツールの導入も重要な対策となります。従来型のセキュリティソフト（EPP）だけでなく、ゼロトラストに沿ったセキュリティソフトの導入も一つの対策となります。
SMSデータテックではエンドポイントセキュリティ対策として「CrowdStrike Falcon Endpoint Protection」を提供しています。EDR、NGAV、フォレンジックなどの機能を備えており、スピアフィッシングにおけるマルウェア感染についても素早い対処が可能です。

もしもスピアフィッシングの被害にあってしまったら…

本稿で記載した通り、スピアフィッシングのようにサイバー攻撃は巧妙化、多様化が進んでいます。このような状況下では、100％情報漏洩を起こさないセキュリティ確保は至難の技といえます。
もし、スピアフィッシングでの情報漏洩が発生してしまった場合には、企業ではどのように対応すべきなのかを紹介します。これらの対処、対応には専門的な技能が必要とされる場合も多いため、コンサルティングなども活用して早急な課題の解決に取り組むことが重要です。

被害状況の確認

まずは、情報漏洩の発生に対し、影響範囲を確かめます。流出した可能性のあるデータを明確化し、流出先として考えられる範囲を特定しましょう。すでに漏洩が起きてしまっている場合には、どこで情報が確認されたかを抑えておきます。

被害拡大の阻止

被害が拡大することを避けるため、情報の収集を行います。同様の手口での被害事例、原因と侵入経路の特定、マルウェア感染した場合は該当端末のネットワーク遮断、デジタルフォレンジックを用いた詳細な攻撃に関する追跡などが挙げられます。

再発防止

サイバー攻撃により情報漏洩が発生してしまった場合には、企業の信頼性にも大きな影響があります。失墜した信頼を取り戻すためにも再発防止が必須となります。
再発を防止するためには、原因の分析と対処策をセットで用意しましょう。

まとめ

スピアフィッシングとは、特定のターゲットを定めた標的型Eメールによる情報窃取を狙ったサイバー攻撃です。不正なWebサイトへの誘導と情報の窃取、マルウェアへの感染などを起こし、更なる被害につながる糸口となります。

スピアフィッシングで情報が漏洩してしまった場合、気を付けておきたいのが情報のダークウェブへの流出です。ダークウェブで情報が取り扱われた場合、被害の拡大や更なる攻撃を受けることが想定されるためです。
ダークウェブへの情報流出をいち早く検知するためのツールとしてダークウェブアイがあります。ダークウェブを監視し、自社の情報が漏洩している場合には、迅速に通知し対処に取り組めるため、被害拡大を防ぐことが可能です。対応策の提示や対策の実施状況までを一元管理できるため、企業のセキュリティを高めるうえで強力な効果を発揮します。