このページの本文へ

「スピアフィッシング」から身を守るための方法

2016年09月30日 18時01分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

 「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第33回は、「スピアフィッシング」についてです。

 スピアフィッシングとは、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスできるようにしたりする不正なソーシャルエンジニアリング の手法です。

 魚釣り用語のスピアフィッシングは、銛(もり)を使って魚類を直接に捉える手法のことです。それが転じて、セキュリティ用語では狙いを定めてフィッシングを行うという意味になりました。ただし、魚釣り用語の「スピアフィッシング」の英語の綴りは”spearfishing”であり、セキュリティ用語の「スピアフィッシング」は“spearphishing“ という違いがあります。

 スピアフィッシングの多くは、電子メールを利用して行われます。サイバー攻撃者は、ユーザー名とメールアドレスを手に入れることができれば、すぐにスピアフィッシングでユーザーの機密情報を狙うことが可能です。サイバー攻撃者は、侵入したい企業や団体に対して、例えば、情報システム部門を装って従業員にパスワードを聞き出そうとするメールを送ったり、得意先企業からのメールを装ってニセのサイトに誘導してマルウェア に感染させ、企業情報や知的財産を盗もうとする場合などもあります。

 攻撃対象にあわせて、送信者名(例:上司名、取引先担当者名)、件名(例:「定例会議事録の送付」「送別会のご案内」)、本文、添付ファイルなどを自然にカスタマイズしているため、攻撃対象者は自然に日常の業務をこなすように添付ファイルを開いたり、リンク先のURLをクリックしてしまいます。

 このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合は、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。


参考: スピアフィッシングに対するベストプラクティス

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌

不正商品にご注意ください!

アスキー・ビジネスセレクション

プレミアムPC試用レポート

ピックアップ

電撃モバイルNEO バナー

デジタル用語辞典

ASCII.jp RSS2.0 配信中