スピアフィッシング すぴあふぃっしんぐ
フィッシング標的型攻撃ソーシャルエンジニアリングなりすましメール標的型メールサイバー攻撃
スピアフィッシングについて教えて
簡単に言うとこんな感じ!
「あなた宛て」に仕立てた超精巧な詐欺メールのことだよ! 普通のフィッシング詐欺が「不特定多数に投げる網」なら、スピアフィッシングは「特定の一人を狙う銛(spear)」。名前・役職・取引先まで調べ上げて送ってくるから、本物そっくりで気づきにくいんだ!
スピアフィッシングとは
スピアフィッシング(Spear Phishing)とは、特定の個人・組織を狙い撃ちにした高度なフィッシング攻撃のことです。攻撃者は事前にターゲットの氏名・役職・取引先・社内用語などを徹底的に調査し、本物と見分けがつかないほどリアルなメールや文書を作成して送り込みます。「spear(銛)」という名の通り、的を絞って深く刺さることを狙った攻撃手法です。
一般的なフィッシングが「クレジットカード情報を持つ人なら誰でもいい」という乱打型であるのに対し、スピアフィッシングは「この会社の経理担当・Aさん」を狙う精密誘導型です。受信者が信頼する人物・組織・状況を完全に模倣するため、セキュリティ意識が高いビジネスパーソンでも騙されるケースが後を絶ちません。企業の機密情報漏洩・不正送金・システム侵害の入口として、現代の標的型攻撃において最もよく使われる手段のひとつです。
攻撃の仕組みと手口
攻撃の流れ
| ステップ | 攻撃者の行動 | 具体例 |
|---|---|---|
| ① 情報収集 | SNS・会社HP・LinkedIn等を調査 | 「田中部長が経理担当と判明」 |
| ② なりすまし準備 | 偽ドメイン取得・メール偽装 | accounting@c0mpany.jp(oが0) |
| ③ メール送付 | 個人情報を織り込んだ文面を送る | 「田中様、先日の件ですが…」 |
| ④ 誘導 | 偽サイトへ誘導・添付ファイル実行 | 「請求書.xlsm」を開かせる |
| ⑤ 侵害 | 認証情報搾取・マルウェア感染 | VPN認証情報の窃取・社内潜入 |
よく使われる偽装パターン
- 経営幹部になりすます「CEO詐欺」:「社長から」として経理担当に緊急送金を指示
- 取引先・仕入先になりすます:「振込先口座が変更になりました」
- IT部門になりすます:「パスワードリセットが必要です」
- 宅配業者・官公庁になりすます:「荷物の確認」「税務署からのお知らせ」
覚え方
「銛(やり)で一点突破」 普通のフィッシング=「網(net)で大量漁獲」 スピアフィッシング=「銛(spear)で一匹狙い撃ち」 狙われているのは「あなた」だと知ると、一気にリアルに感じるはず!
歴史と背景
- 2000年代初頭:フィッシング詐欺が広く普及。不特定多数への大量送信が主流
- 2005年頃:「スピアフィッシング」という用語が登場。セキュリティ研究者が標的型の詐欺メールを区別して呼び始める
- 2011年:米国防総省請負企業「RSA Security」がスピアフィッシングにより侵害。2,000万件以上の SecurID トークン情報が流出し、世界に衝撃を与える
- 2014年:ソニー・ピクチャーズへの攻撃でスピアフィッシングが侵入口として使われ、膨大な社内情報が流出
- 2016年:米大統領選に関連し、民主党全国委員会(DNC)のメールがスピアフィッシングで窃取・流出
- 2020年代:生成AIの普及により、文法が自然で個人情報が詳細に盛り込まれた偽メールの作成が容易になり、攻撃の精度がさらに向上
通常のフィッシングとの違い・関連攻撃の比較
関連する攻撃手法
- ホエーリング(Whaling):スピアフィッシングの中でも経営幹部(クジラ=大物)を狙うもの。CEO詐欺とも呼ばれる
- ビジネスメール詐欺(BEC: Business Email Compromise):スピアフィッシングを利用して企業の送金・振込を騙し取る詐欺の総称
- ボイスフィッシング(Vishing):電話音声を使った同様の標的型詐欺
- SMSフィッシング(Smishing):SMSを使った標的型詐欺
対策と見分け方
組織として取り組むべき対策
| 対策カテゴリ | 具体的な施策 |
|---|---|
| 技術的対策 | メール認証(SPF・DKIM・DMARC)の導入、多要素認証(MFA)の義務化 |
| 教育・訓練 | 標的型メール訓練(擬似攻撃メールを送って反応を確認)の定期実施 |
| ルール整備 | 「電話で確認しないと送金しない」「口座変更は書面+電話確認必須」などの業務ルール化 |
| 報告体制 | 怪しいメールをすぐ報告できる仕組みと、報告を責めない文化の醸成 |
個人として気をつけるチェックリスト
- 送信元メールアドレスのドメインが本物と一致しているか(
c0mpany.jp← 0はゼロ) - 急かす・脅す表現が使われていないか(「今すぐ」「本日中に」)
- URLが正規サイトと微妙に違わないか(リンクにマウスオーバーして確認)
- 添付ファイルの拡張子がマクロ有効ファイル(.xlsm/.docm)でないか
- 知っている人からのメールでも、内容が「いつもと違う」と感じないか
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7208 | SPF(Sender Policy Framework):送信元IPアドレスの正当性を検証するメール認証規格 |
| RFC 6376 | DKIM(DomainKeys Identified Mail):電子署名によるメール改ざん検出 |
| RFC 7489 | DMARC:SPFとDKIMを組み合わせてなりすましメールを拒否・報告する仕組み |
| NIST SP 800-177 | メールセキュリティガイドライン(フィッシング対策を含む) |
関連用語
- フィッシング — 不特定多数を狙ったなりすましメール詐欺の総称
- ソーシャルエンジニアリング — 人の心理や行動を利用して情報を騙し取る攻撃手法の総称
- BEC(ビジネスメール詐欺) — スピアフィッシングを使って企業の送金を騙し取る詐欺
- 多要素認証(MFA) — パスワード以外の認証要素を追加してなりすましを防ぐ仕組み
- DMARC — なりすましメールを自動検出・拒否するメール認証の仕組み
- マルウェア — スピアフィッシングで配布される悪意あるソフトウェアの総称