不正検知・ノウハウ

  •  PR 

スピアフィッシング攻撃とは?手口や4つの対策・フィッシングとの違いを解説

スピアフィッシング攻撃とは、個人情報や機密情報を盗み取ることを目的に、特定の企業や個人を狙うフィッシング詐欺の一種です。

通常のフィッシングよりも騙されやすく、過去にも多くの被害が発生しているため、手口を知ったうえで適切な対策を講じることが大切です。

そこで本記事では、スピアフィッシングに関する下記の内容を解説します。

  • スピアフィッシング攻撃の特徴や主な手口
  • スピアフィッシング攻撃とフィッシング詐欺の違い
  • スピアフィッシング攻撃で企業が被るリスクと対策

過去の被害事例や、被害に遭った場合の対処法も解説しますので、ぜひ最後までご覧ください。

なお、フィッシング詐欺全般について先に知りたい方は、下記の記事をご一読ください。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

スピアフィッシング攻撃とは?主な手口や国内の現状を解説

まずは、スピアフィッシング攻撃の定義や主な手口、国内の現状を解説します。

スピアフィッシングの特徴や手口を把握して、組織内でのセキュリティ意識向上にお役立てください。

スピアフィッシング攻撃は「標的型のフィッシング詐欺」

スピアフィッシング攻撃とは、個人情報や機密情報を盗むことを目的として、特定の個人や企業を狙って仕掛けてくるフィッシング詐欺の一種です。別名、標的型攻撃とも言われています。

スピアは「槍」の意味を持ち、狙いを定めたら突き刺すように仕掛けてくる標的型の攻撃です。

そのため、詐欺の精度が高く「通常のフィッシングよりも騙されやすい」という特徴があり、なかなか見抜くことができません。

※引用:総務省

下記の記事では、標的型攻撃の特徴や対策を詳しく解説していますので、あわせてご覧ください。

スピアフィッシングの主な手口

スピアフィッシングの手口は、主に下記のような特徴があります。

【スピアフィッシングの主な手口】

  • メールの受信者に関係がありそうな送信者を名乗る
  • 添付ファイルや本文中のURLリンクを開かせるために、件名・本文・添付ファイルに細工が施されている(業務に関係するメールを装う・興味を惹かせる内容を記載する・添付ファイルの拡張子を偽装するなど)
  • ウイルス対策ソフトで検知しにくいマルウェアが使われる

※引用:独立行政法人情報処理推進機構

不正を働くものは、人間の心理的な隙や行動のミスをついた攻撃方法「ソーシャルエンジニアリング」を用いて詐欺を仕掛けてきます。

そのため、何の疑いもなく信じてしまい、自身が詐欺にあったことに気付かないケースも少なくありません。

下記は、部署ごとに送られたメールの内容でうっかり開いてしまいがちな例文です。

部署信じやすい件名やメール内容添付ファイル
人事部中途採用の問い合わせ履歴書
営業部得意先からの注文発注内容
技術部新製品に関する問い合わせ製品に対するQ&A
システム開発部セキュリティ注意喚起手口に関する解説書

通常の業務でやりとりしている内容と似ていることもあり、被害者は抵抗なく添付ファイルやURLをクリックしてしまうのです。

スピアフィッシングは、セキュリティ意識が高い「システム開発部」のような部署でも引っかかってしまうほど、巧妙な手口だということを覚えておきましょう。

スピアフィッシングを含むフィッシング詐欺の現状

スピアフィッシングを含むフィッシング詐欺は、報告件数が年々増加しているのが現状です。

また、あの手この手を使い、手口も巧妙化しています。

下記のグラフは、フィッシング対策協議会の資料をもとに作成した「2017年から2022年までのフィッシング報告件数の推移」です。

※参考:フィッシング対策協議会

2017年のフィッシング報告数「9,812件」に対し、2022年は「968,832件」と5年間でおよそ100倍に増えています。

さらに、ある調査用メールアドレス宛にひと月に届いたフィッシングメールのうち、約87.0%がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであったとの報告もあります。

このように「なりすまし」によるフィッシングメールが多い状況は、依然として続いているのが現状です。

また、企業などの海外拠点は、日本に比べてセキュリティが手薄になりがちなため、標的にされやすい傾向があります。

スピアフィッシングの一種「ホエーリング」とは

スピアフィッシングのなかでも、社長や経営者レベルをターゲットにした攻撃は「ホエーリング」と呼ばれています

詐欺の手口は、スピアフィッシングとほとんど変わりません。

スピアフィッシングとホエーリングの違いは、標的が「魚」から「鯨」になり、企業の社長など、より大きな役割を担う者を標的とする点にあります。

【ホエーリングの特徴】

  • 社長や経営陣など、会社の経営に大きく関わっている人物を狙う
  • 経営や業務の緊急性を強調するなど、社長や経営陣が特に気にするような内容のメールを送りつけて開封を煽る
  • 悪意のある第三者が関係者になりすます傾向があり、ターゲットが疑うことなく開いてしまうメールが作成されやすい(税務署からのメールなど)
  • より重大な情報や大きい金額が被害に遭うリスクがある

不正者は、ターゲットの地位や肩書き・個人情報などを特に念入りに調べ、隙を狙って疑われないように振る舞います。

スピアフィッシング攻撃とフィッシングの違い

通常のフィッシング攻撃は「不特定多数」を対象に仕掛るのに対し、スピアフィッシング攻撃は「標的を特定」して仕掛けるという違いがあります。

次の表は、スピアフィッシング攻撃とフィッシング攻撃の違いを詐欺の段階ごとに比較したものです。

スピアフィッシング攻撃フィッシング攻撃
ターゲット特定の人物や企業を狙う不特定多数を狙う
攻撃の特徴・事前に標的のことを調べているため精度が高い

・受信者にとって関係性が深い話題

「数多く攻撃したなかで一部でも引っ掛かればよい」というスタンスのため精度が荒い
不正検知検知されにくい検知される場合が多い
感染後感染に気づきにくい何らかの異常な症状が出て気づきやすい
被害金額や漏洩する情報量が大きい漏洩や盗まれる金額は基本的に個人単位

スピアフィッシング攻撃は、ターゲットに合わせた信頼性の高い情報を利用して狙い撃つため、より高いセキュリティ意識を持つことが求められます。

スピアフィッシング攻撃で企業に起こり得るリスク

企業がスピアフィッシング攻撃を受けると、次のようなリスクが起こり得えます。

【スピアフィッシング攻撃で企業が受けるリスクの一例】

  • 個人情報が騙し取られる
  • 顧客情報が騙し取られる
  • アカウントが乗っ取られる
  • マルウェアに感染する
  • 不正な預金引き出しや送金の被害に遭う
  • ランサムウェア攻撃を受ける
  • 事業継続にダメージを受ける

スピアフィッシング攻撃の被害で騙し取られるのは、自社の従業員に関する情報だけではありません。

顧客情報や取引先との機密情報などが流出するリスクもあり、被害に遭うと関係各所に多大な迷惑をかけるおそれがあります。

加えて、これまでの事案を見てみると、騙し取られた情報が表立って流出するまでは不正が発覚しないケースがほとんどです。

マルウェアやランサムウェアといった不正なプログラムに感染させる被害も想定でき、海外では実害も発生しています。

下記は、ランサムウェアに感染した場合に想定される被害の一例です。

  • 情報漏洩
  • 業務やサービスの停止
  • 社会的な信頼の喪失

このように、スピアフィッシング攻撃は事業継続に大きなダメージを与えるリスクも秘めており、普段から被害を防ぐための専門的な対策が求められます。

なお、ランサムウェアの手口や事例、被害に遭わないための対策については、下記の記事で解説していますのでご一読ください。

スピアフィッシング攻撃の被害事例3選

この章では、国内外の被害実例を3つ紹介します。

  1. 公的機関から125万人分の個人情報が漏洩
  2. 旅行会社から793万人分の個人情報が漏洩
  3. バングラデシュ中央銀行から約8,100万ドルが不正送金

スピアフィッシングに限らず、サイバー攻撃は国内外で巧妙化かつ、常態化しています。

実際に発生した手口を知り、セキュリティ対策の強化にお役立てください。

【事例1】公的機関から125万人分の個人情報が漏洩

2015年5月、とある公的機関がスピアフィッシング攻撃の被害に遭い、保有する個人情報の一部が流出する事案が発生しました。

不正の手口は下記のとおりです。

【不正の手口と経緯】

  1. 外部の悪用者が学術機関の職員を装い、フリーアドレスを用いて「セミナーの案内状」と称したウイルス付きの文書ファイルを送信
  2. 職員が添付ファイルをダウンロード
  3. 合計31台の端末がウイルスに感染し、氏名や個人に関わる番号などの重大な情報が流出
  4. 攻撃発覚後も社内への周知徹底や注意喚起がなされず、被害が拡大

外部通信時に職員のメールアドレスが盗まれていた可能性が高く、攻撃者が管理権限を窃取・利用して他の端末へ拡大させたことがわかっています。

重ねて、さらなる被害の拡大を招いた要因として

  • 「標的型メール攻撃ではないか」という疑いが組織で共有されなかった
  • 送信元メールアドレスの受信拒否の設定をおこなわなかった
  • 不審メールを受信した者に添付ファイル開封の有無を確認しなかった

など、いくつもの対応の遅れがあったことがわかりました。

【事例2】旅行会社から793万人分の個人情報が漏洩

2016年、大手旅行会社の子会社が、取引先である航空会社を装ったメールの添付ファイルを開き、最大793万人分もの個人情報が漏洩した可能性があることが発覚しました。

本事例は、下記のように不正発覚まで半月もかかっています。

【不正の手口と経緯】

  1. 取引のある航空会社系販売会社のメールアドレスのドメインを偽装した不正者から「航空券控え 添付のご連絡」という件名でメールが届く
  2. オペレーターの1人がメールを開封。添付されていた圧縮ファイルも開く(この時点でマルウェアが動き出したが、感染したことには気づかず)
  3. 本来は個人情報を保有していないサーバーにおいて、内部から外部への不審な通信を複数確認
  4. 「外部からの不正侵入者が作成して削除したデータファイル」の存在を確認(ここまでで不正者からの添付ファイルを開いてから半月が経過)
  5. 不正者が作成、削除したデータの中に個人情報が含まれていたことを確認

この事案で盗まれた個人情報には、かつてないほど大量のパスポート番号やパスポート取得日が含まれていました。

なかには、海外拠点を踏み台にして国内サーバに不正アクセスされたものもあり、同様に「自社で海外サーバを保有している企業」は特に対策が必須です。

下記の記事では、2021年に海外グループ会社へ第三者からの不正アクセスが確認された事例を解説しています。関心のある方はご覧ください。

【事例3】バングラデシュ中央銀行から約8,100万ドルが不正送金

スピアフィッシング攻撃は、海外でも発生しています。

2016年、ハッカーがバングラデシュ中央銀行のシステムに侵入し、不正な送金の指示を出すという事案が発生しました。

不正が発覚するまでの経緯は次のとおりです。

【不正の手口と経緯】

  1. バングラデシュ中央銀行のシステムに不正者がマルウェアを使って侵入
  2. 同銀行の業務の流れを下調べしたのち、バングラデシュ中央銀行のSWIFT(国際銀行間通信協会)関連の認証情報を盗み出す
  3. 同銀行からSWIFTシステムを通じて、米国ニューヨーク連邦準備銀行に不正な送金指図を送信
  4. その結果、同銀行保有の米国ニューヨーク連邦準備銀行の口座から、アジア諸国の民間組織などの口座へ不正に送金。被害額は約8,100万ドルに上る
  5. 複数回の不正送金指示があった
  6. 5回目の不正送金の際、送金先口座名を「foundation」と書くべきところを犯罪者が「fandation」と書いてしまい、スペルミスをしたことで事件が発覚

※参考:公安調査庁

当時のバングラディシュ銀行では、ファイアウォール(※)も無く極めて無防備な状態であり、脆弱なシステムを狙って侵入されていたことがわかっています。

※ファイアウォールとは、不正アクセスやサイバー攻撃を防ぐネットワークセキュリティの障壁のこと

スピアフィッシング攻撃に遭わないための4つの対策

スピアフィッシングを含むフィッシング詐欺は、一度狙われたら続けて狙われる傾向があるため、早い段階での正しい対応が大切です。

そこでここからは、スピアフィッシング攻撃に遭わないための主な対策を4つ紹介します。

  1. 送信元を確認し、不審なメールは開封しない
  2. 社内のセキュリティ教育を推進する
  3. サーバー側で不審なドメインをブロックする
  4. フィッシング検知に有効なサービスを導入する

【対策1】送信元を確認し、不審なメールは開封しない

1つ目は、メールの送信元を確認し、不審なメールを開封しないことです。

特に、添付ファイルやURLがある場合は安易にメールを開封せず、送信元を確認することが予防の第一歩となります。

スピアフィッシングに悪用されるメールは、フリーメールの傾向が強い点も特徴です。

少しでも怪しいと感じたら、社内のルールに従って報告するようにしましょう。

【対策2】社内のセキュリティ教育を推進する

対策の2つ目は、社内のセキュリティ教育を推進することです。

スピアフィッシングは、たった一人でもウイルスに感染してしまうと、企業の機密情報や個人情報が大量に流出しかねません。

IPA(独立行政法人情報処理推進機構)が令和4年に実施した「中小企業等に対するサイバー攻撃の実態調査」では、約7割の企業で標的型攻撃メールを模したメールを開封していた実態も浮き彫りになっています。

一人ひとりのセキュリティ意識を高めるため、最新のセキュリティ情報の教育を定期的に開催することが大切です。

また、トラブルが起こった際の手順など、社内ルールやマニュアルを周知徹底しておくことも忘れずにおこないましょう。

【対策3】サーバー側で不審なドメインをブロックする

スピアフィッシング攻撃の攻撃手段のほとんどが、メールを起点としています。

そのため、メールサーバー側で不審なドメインからのメールをブロックしたり、フィッシングの危険度を判定して通知する仕組みを構築したりする対策が効果的です。

メールをブロックする方法としては、下記のようなものが挙げられます。

  • プロバイダの提供するフィルタリングサービスを利用する
  • セキュリティソフトの迷惑メール対策機能を利用する

下記の記事では、迷惑メール対策に有効な送信ドメインの認証技術「DMARC」の仕組みや設定方法を紹介していますので、あわせてご覧ください。

【対策4】フィッシング検知に有効なサービスを導入する

4つ目の対策は、フィッシング検知に有効なサービスを導入することです。

フィッシング対策ガイドラインでは、フィッシング被害の発生を迅速に検知するための対策として、下記のようなものが有効とされています。

  • インターネット上の不正活動を24時間体制でモニタリングする
  • フィッシング発生を早期に検知する目的で、登録状況のモニタリングや検知・通知サービスを活用する

しかし、24 時間体制でのモニタリングや最新の不正手口への対応などを自社ですべてカバーするのは現実的ではありません。

そこで、自社での対策に加えて専門のサービスを利用するのが望ましいと言えます。

なお、フィッシング対策や不正アクセス検知には、かっこ株式会社が提供する『鉄壁PACK for フィッシング』がおすすめです。

【鉄壁PACK for フィッシングがおすすめの理由】

  • フィッシング(スピアフィッシング攻撃を含む)が起こるすべてのフェーズで対策可能なため、多層的な防御が可能
  • 金融機関採用の不正アクセス検知サービス「O-MOTION」により、フィッシングの被害を水際で防止できる
  • 導入実績No.1(※)の「O-PLUX」(ECサイトの不正注文を見抜くクラウドサービス)を運営するかっこ株式会社の提供だから安心

※2024年3月末日時点。株式会社東京商工リサーチ「日本国内のECサイトにおける有償の不正検知サービス導入サイト件数調査」による

『鉄壁PACK for フィッシング』は、フィッシングガイドラインで奨励している「Webサイト運営者が考慮すべき要件」の大半をカバーしています。

最新の不正手口に対応し、全方位的に不正対策を強化したい方は、下記のバナーをクリックのうえお気軽にサービス資料をダウンロードしてください!

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

スピアフィッシングかも?と気付いた時の対処法

最後に、「スピアフィッシングかもしれない」と気付いた時の対処法を解説します。

おかしいと感じたら、すぐに下記のような行動を取ることがおすすめです。

【スピアフィッシングかも?と気づいた時の対処法】

  1. 直ちに上司やセキュリティ担当者に報告(社内ルールがあればそれに従う)
  2. 感染したパソコンをネットワークから切り離す
  3. USBメモリーなどの外部記録装置使用の有無を確認し、二次被害を防ぐ
  4. (場合により)組織全体のネットワークを一時停止する

不測の事態が「起こり得る」前提で、事前に感染や被害が発生した場合の対応を決めておくのが望ましいと言えます。

なぜなら、対応が遅れれば遅れるほど被害が大きくなる可能性は高くなるため、被害を最小限に抑えるために「初動」が重要なポイントになるからです。

そのためにも、社内のマニュアルやルールを普段から周知徹底しておきましょう。

まとめ:発見が難しいスピアフィッシング攻撃には有効なサービスを活用しよう

スピアフィッシング攻撃は、特定の相手を狙っておこなわれる標的型のフィッシング詐欺です。

攻撃を受けたことに気付きにくいため、時間の経過と共に被害が広がり、企業に大きなダメージを与えるリスクが潜んでいます。

スピアフィッシング攻撃の被害に遭わないためには、下記のような対策をしておくことが肝心です。

【スピアフィッシング攻撃に遭わないための対策】

  • 送信元を確認し、不審なメールは開封しない
  • 社内のセキュリティ教育を推進する
  • サーバー側で不審なドメインをブロックする
  • フィッシング検知に有効なサービスを導入する

社内でのセキュリティ教育を定期的に実施するとともに、フィッシング検知に有効なサービスを導入して多角的な対策を講じるのがおすすめです。

なお、下記の記事ではフィッシング攻撃の手法・予防から対策まで詳しく解説しています。自社の不正対策の参考にご覧ください。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

ピックアップ記事

  1. 不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説
  2. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  3. 不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
  4. 不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービ…
  5. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」

関連記事

  1. 不正検知・ノウハウ

    レピュテーションリスクの7つの種類とは?早めに検知して対策しよう

    企業におけるレピュテーションとは、企業への評判・風評のことを指します。…

  2. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法。2020年3月が対応期限で東京オリンピックなど改正の背景…

    代金の支払いを分割して支払う割賦販売(かっぷはんばい)にて、公正で健全…

  3. クレジットカードの不正利用は誰が払うの?

    不正検知・ノウハウ

    クレジットカードの不正利用はEC事業者の負担!その理由や行うべき不正対策を紹介

    「クレジットカードの不正利用は誰が払うの?」と疑問を持っていま…

  4. 不正検知・ノウハウ

    キャリア決済の悪用を防ぐには?不正が発生する原因や対策、事例を紹介

    「キャリア決済が悪用されたらどうすれば良いのだろうか」「被害に遭わ…

  5. 不正検知・ノウハウ

    不正検知ソリューションとは何か?不正使用を防ぐために必要な対策

    セキュリティ対策として不正検知ソリューションが注目されつつあります。…

  6. 企業向け 受け取り拒否対策
EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正検知・ノウハウ

    個人情報が流出するとどうなる?被害事例や罰則・対応方法などを解説
  2. 不正検知・ノウハウ

    初心者でも安心!クレジットカードの仕組みと注意点、メリットやデメリットを解説
  3. 不正アクセス

    ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか
  4. 不正検知・ノウハウ

    【2024年最新】フィッシング詐欺の事例8選!対策と被害に遭った時の対処法も解説…
  5. セキュリティ用語

    フィッシングメールとは?実例や見分け方、対処法について解説
PAGE TOP