スピアフィッシングとは一般的なサイバー攻撃の方法で、攻撃者が標的を絞って詳細にいたるまで巧みに作り上げたメールを特定の受信者やグループに送るというものです。そのため、攻撃者は悪意のあるペイロードをクリックさせたり、ダウンロードさせたり、意図しない電信送金などを行わせたりするために、ターゲットについて予め調べておき、メッセージを正当に見せかけるための重要な情報を入手しようとします。
スピアフィッシング攻撃は、一度に1つの組織のみ、または組織内の特定のチームのみを標的にすることがあります。さらに精巧なスピアフィッシング攻撃では、Cレベル幹部や上級マネージャーなど最高レベルの標的をレーザービームのように狙うことも少なくありません。このような特に集中的なフィッシング攻撃を俗にホエーリングと呼びます。
一方、一般的なフィッシング攻撃は何人かのユーザーが罠にかかるだろうという想定に基づき、できるだけ多くのターゲットを狙います。このようなタイプの攻撃は、ターゲットへの侵入に求められる努力やアウトプットが比較的少ないため、上級幹部や特定の組織に対するフィッシング攻撃よりもずっと広範に使われています。
犯罪者は何かを捕まえることを期待して、フィッシングメールという広い網を投げかけるのです。そのため彼らは多くの場合、正当な発信元からのものであると見せかけた悪意のあるリンクや添付ファイルを何の疑いもないユーザーがクリックするよう、スパム的なメールを送って機密情報や重要な認証情報を入手しようとします。
フィッシング攻撃はコストが低い割に、十分な利益を得るのに有効な手段であることから、長い間広く使われています。しかしメールセキュリティの進歩に伴い、フィッシング攻撃が容易に検知されるようになり、意図された宛先に届くフィッシングメールですら、もはやユーザーを騙すのに効果的ではなくなりました。
その結果、攻撃者はフィッシングメールの「信憑性」を高めるための新たな作戦を始めました。当初のフィッシング方法、つまり広い網を投げるというやり方は、実際に存在する詳細な情報を使って、より正当にみせかけるという方法に取って代わられつつあります。スピアフィッシングはこの攻撃スタイルの1つにすぎません。
攻撃者は通常、企業データをオンラインで自由に入手することができ、検知されずに侵入しやすいことから、企業は特にスピアフィッシングの被害を受けやすくなっています。企業の公式ウェブサイトは、その会社特有の技術情報や専門用語、経営幹部や顧客の情報、イベント、さらに内部ソフトウェアツールの名前にいたるまで、様々な情報が詰まった宝の山です。Facebook、Twitter、およびLinkedInのようなソーシャルネットワークは、ある人物の現在や過去の勤務先だけでなく、一通りの検索で組織の階層構造も容易に分かるようになっています。
スピアフィッシングでは、攻撃者がオンラインで自由に手に入るこのような詳細な情報の断片を名前、場所、言葉の形で利用して、本来ならばだまされないような悪意のあるリンクをクリックさせるのに一見十分な妥当性をメールに与えます。そのリンクは社外秘の認証情報などをキャプチャするために待ち構えているウェブサイトにつながっており、攻撃者が企業ネットワーク上で自由に知的財産や顧客データを盗めるようになります。
例えば、組織の内部メールアドレスの構造、アカウントマネージャーの名前(LinkedInで容易に自己認識することが可能です)、主要顧客名(会社ブログに掲載されています)、セールス責任者(企業サイトに掲載されています)について把握することで、攻撃者はセールス責任者のふりをしてアカウント管理チーム全体へ、主要顧客に関する緊急の問題といった説得力のあるメールを送ることができるのです。メールには、受信者は特定のリンクから会社のイントラネットアクセスしてメモを読むように、との指示が書かれているとします。このリンクはイントラネットポータルのように見えて、実はユーザー名やパスワードを盗むための悪意のある偽リンクなのです。財務チームは納税の準備をしている時期にスピアフィッシング攻撃で狙われることが多く、その場合、会社のCEOやCFOに扮した攻撃者が急ぎで源泉徴収票を確認しなくてはならないと伝えてきます。
フィッシング対策で使われる一般常識がスピアフィッシングにも当てはまり、この種の攻撃を防止するのに有効な基準となります。フィッシング型攻撃がもたらす被害の多くを防ぐには、メール内のリンクをクリックしないというのが鉄則です。それを踏まえたうえで、スピアフィッシングが従来の単純なフィッシング攻撃よりも精巧であることから、組織はそのポリシーにおいてこのような一層高度な戦術に言及し、社員がそれに沿って予防策を講じるための強力なソリューションを教育する必要があります。
その他、組織ができるスピアフィッシング攻撃の防止策には以下のようなものがあります。
フィッシング攻撃に対する強固な意識訓練は理論武装だけではありません。最も優れたトレーニングプログラムでは、説得力がある(ただし無害な)スピアフィッシングメールが組織の従業員に送られるというフィッシングのシミュレーションテストについても繰り返し行います。ある従業員がフィッシング攻撃に騙された場合、このようなキャンペーンがいかに効果的であるかを直接学ぶことができ、組織のデータが安全に管理されている環境において今後気を付けるべきことが分かります。スピアフィッシング対策においては従業員が第一線の戦力となります。従業員の意識を磨き、進化を続けるこうした攻撃に対する警戒心を維持するうえで、フィッシング攻撃の防止にフォーカスした意識向上トレーニングプログラムはすべての組織にとってメリットがあります。