「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第33回は、「スピアフィッシング」についてです。
スピアフィッシングとは、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスできるようにしたりする不正なソーシャルエンジニアリング の手法です。
魚釣り用語のスピアフィッシングは、銛(もり)を使って魚類を直接に捉える手法のことです。それが転じて、セキュリティ用語では狙いを定めてフィッシングを行うという意味になりました。ただし、魚釣り用語の「スピアフィッシング」の英語の綴りは”spearfishing”であり、セキュリティ用語の「スピアフィッシング」は“spearphishing“ という違いがあります。
スピアフィッシングの多くは、電子メールを利用して行われます。サイバー攻撃者は、ユーザー名とメールアドレスを手に入れることができれば、すぐにスピアフィッシングでユーザーの機密情報を狙うことが可能です。サイバー攻撃者は、侵入したい企業や団体に対して、例えば、情報システム部門を装って従業員にパスワードを聞き出そうとするメールを送ったり、得意先企業からのメールを装ってニセのサイトに誘導してマルウェア に感染させ、企業情報や知的財産を盗もうとする場合などもあります。
攻撃対象にあわせて、送信者名(例:上司名、取引先担当者名)、件名(例:「定例会議事録の送付」「送別会のご案内」)、本文、添付ファイルなどを自然にカスタマイズしているため、攻撃対象者は自然に日常の業務をこなすように添付ファイルを開いたり、リンク先のURLをクリックしてしまいます。
このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合は、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。
