サイバーセキュリティに関心のある人ならば、フィッシングがどんなものかはご存じかと思います。フィッシングとは基本的に、ログインID、パスワード、ウォレット番号といった個人情報を盗み出す詐欺の一種です。デジタル版のソーシャルエンジニアリングと言ってよいでしょう。詳しくはこちらの記事をご覧ください。
フィッシングの一種に、スピアフィッシングというものがあります。他のフィッシングとの違いは、特定の企業の特定の人物や社員を標的にする点です。
標的を絞り込むスピアフィッシングは、他のフィッシングよりも危険です。サイバー犯罪者は標的に関する情報を慎重に収集し、標的を引き付ける「餌」を用意します。うまく作られたスピアフィッシングメールは本物とほぼ見分けがつかないため、相手をより簡単に釣り上げられるのです。
誰がどのような目的で仕掛けるのか
スピアフィッシングには、2つの目的があります。金銭の窃取、または秘密情報の入手、あるいはその両方です。いずれの場合も、まず企業ネットワークへ侵入するところから始まります。侵入に使われるのは、悪意ある文書やアーカイブをメールに添付して複数の社員に送りつける手口です。Silence攻撃を実行した犯罪グループも、この手口を使っていました。
攻撃者は、基本的に実用的で小さなプログラム、Microsoft WordのマクロやJavaScriptコードを使って文書を攻撃の手段に変え、一般的なファイルに埋め込みます。その唯一の目的は、さらに有害なマルウェアを標的のコンピューターにダウンロードすることです。コンピューターに感染したマルウェアは、標的のネットワーク全体に拡散することもあれば、集められるだけの情報を集めまくることもあります。このようにして、マルウェア作成者は目的の情報を探し出します。
スピアフィッシングは、できるだけ広く網を張ろうとする三流詐欺師が使う手口ではありません。その辺にいる詐欺師には、攻撃手段をカスタマイズする時間も手段もないのです。
スピアフィッシングは、大企業、銀行、影響力のある人物を狙った大規模攻撃の手段であり、CarbanakやBlackEnergyなど大掛かりなAPT攻撃で使われています。また、メールを通じた感染を入り口としたBad Rabbit攻撃でも使われました。
どういう人が狙われるのか
スピアフィッシングでよく標的にされるのは、利益のありそうな情報にアクセスできる幹部クラスの社員や、業務上、外部から送られてきた文書を大量に開く部門の社員です。
たとえば人事部門です。さまざまな形式の履歴書をたくさん受け取るので、知らない人から添付ファイル付きのメールが送られてくるのは珍しくなく、怪しいとも思いません。広報部門や営業部門など、危ない部門は他にもあります。
特にリスクが高いのは会計部門です。業者や規制当局をはじめ、多くの外部組織とやりとりがありますし、会計ソフトウェアやバンキングソフトウェアを使っています。お金目当てのハッカーにとって、まさに狙い目です。
一方、スパイが狙うのはシステムに内部アクセスできる人たち、つまりシステム管理者やIT部門の社員です。
しかし、スピアフィッシングの標的は大企業だけ、とは考えないでください。中小企業も大企業と同じように狙われています。大企業はスパイされることが多く、中小企業は情報を盗まれることが多い、というだけの話です。
スピアフィッシングの対策は
一般に、最も効果の高いスピアフィッシング対策は、他の種類のフィッシングの場合とそれほど変わりません。全般的なフィッシング対策については、フィッシングから身を守るための10のヒントを紹介したこちらの記事をご覧ください。ただ一つ違うのは、スピアフィッシングに対してはより細やかな注意が必要である点です。
理想は、そもそもフィッシングメールが受信トレイに届かないようにすることです。企業インフラでは、フィッシングメールを会社のメールサーバーレベルでブロックする必要があります。これに役立つのが、専用のソフトウェアパッケージです。たとえばKaspersky Security for Mail Serverは、クラウド技術を活用して悪意ある添付ファイルやフィッシングサイトへのリンクをブロックすることができます。
さらに万全を期すなら、多層構造のセキュリティシステムが必須です。メール対策を取っていても、サードパーティのメールサービスを使う社員がいたり、メッセンジャー経由でフィッシングサイトへのリンクを受け取る社員がいたりすることも考えられる(実際にあり得る)からです。したがって、攻撃者に悪用されることの多いアプリケーションが不審な動きを見せたときに検知可能なソリューションを、ワークステーションにインストールしておくといいでしょう。そのようなソリューションの一つがKaspersky Endpoint Security for Businessです。