フィッシングとスピアフィッシングの違いは何か?

フィッシングとスピアフィッシングメールを実際に見分けられる人はどの程度いるのでしょうか?ましてや、これらの微妙な差異を理解できる人はどれくらいいるのでしょう?この2つの脅威は似ていますが、はっきり異なる攻撃方法として区別されるだけの違いがあります。これらの違いを知っていることはサイバー犯罪の警戒のカギとなる要素です。

フィッシングとは何か?

それでは、その斬新なスペルから見ていきましょう。「Phishing」という言葉は、1960年代から1970年代にかけて名をはせた初代ハッカー「phone phreaks(電話ハック)」の熱烈なファンによって作られました。この電話ハックによって、サイバー戦争の長い伝統が始まりました。この攻撃には、滑稽なほど簡単なテクニックが使われていました。それはCap’n Crunchというシリアルに付いていたおもちゃの笛を使ったもので、その笛はヘルツトーンに似た音が出せるため、それを受話器に向かって吹き付けると、騙された電話会社が回線を切り替えてハッカーに無料通話を提供する仕組みでした。今日の私たちにとって、この話は馬鹿々々しく聞こえるかもしれませんが、これは帯域内信号方式に依存したルーティングスイッチの脆弱性を利用した、当時のハッキング革新であり、電話ハック世代を刺激しました。

フィッシングは、デジタルの「仕掛け罠」に匹敵するハッキングテクニックを取り入れています。 特にフィッシングは、ユーザーを誘い込んでURLをクリックさせるように仕向けます。そのURLは、Microsoftのような有名ブランドになりすましたランディングページのウェブフォームに繋がっています。そのウェブフォームはログイン認証情報などの個人情報を収集するためのものです。一般的なフィッシングメールでは、「あなたのアカウントが停止されました」とか「パスワードを更新してください」、「銀行口座情報を更新してください」というような文言が使われます。

場合によっては、偽のウェブフォームは、実在のものとほとんど区別がつきません。しかしながら、URLそれ自体から表面下に何が潜んでいるのかを知るヒントを得ることができます。例えば、Bank of Americaからのメールだと主張するフィッシングURLは、「www.bankofamericaincu.co」というドメイン名のサイト(ただし、この銀行の実際のドメイン名は www.bofa.comです)へ受信者をダイレクトします。そこでまた、あなたは、ログイン認証情報・社会保険番号・その他の個人情報をこのサイトを仕立てたハッカーと共有してしまうかもしれません。

フィッシングは、一般的に、Office 365のようなクラウドアプリケーションのログイン認証情報を盗み出すためにも使われます。ハッカーは、自分のOffice 365アカウントにログインして、プラットフォームへのアクセスの再取得、共有ファイルの回復、アカウント情報の更新など実行するように促すメールをユーザーに送信します。ユーザーは偽のMicrosoftウェブページにダイレクトするURLをクリックします。その偽のウェブページで、先ほどのBank of Americaの例と同じように、ユーザーの認証情報が盗み取られることになります。

[関連項目]フィッシングに対する意識向上トレーニング:社員が理解すべき8つのこと

スピアフィッシングとは何か?

その一般的な形として、フィッシングは大量配信攻撃であり、比較的広範囲に罠を仕掛けます。フィッシングキャンペーンは、被害者を個別で狙うのではなく、むしろ、数百人、時には数千人の受信者宛てに送信されます。スピアフィッシングは、それとは対照的に、非常に標的型の攻撃であり、単独の個人を狙います。ハッカーは知人を装ってこれを実行します。これは個人的な攻撃です。

スピアフィッシングの犯人は、特定のものを狙います。よく使われるのは、ビジネスメール詐欺です。この手口では、サイバー犯罪者は、権力のある上級社員を装って(偽の会社への)電信送金、振込口座の変更、源泉徴収情報などを依頼します。確実な方法でターゲットに連絡を取るために、ハッカーはソーシャルエンジニアリングを使って、同僚や仕事上の知り合いなどになりすますかもしれません。ハッカーは、インターネットやソーシャルメディアでターゲットを調査したり、BitTorrentのようなピア・ツー・ピア(P2P)プロトコルを使ったデータ漏洩によって、ターゲットに関する情報を入手したりして、なりすましを遂行します。

次のスピアフィッシングのシナリオを検討してみましょう:あなたの名前はボブといい、会社のCEOであるジョー・スミスの下で働いています。スピアフィッシングの犯人は、LinkedInであなたを見て、あなたがジョーの友人であることを知ります。彼は、Facebookであなたをフォローして、好きなスポーツチームを調べたり、会社で携わっているプロジェクトについて読んだりします。

それから犯人は、joesmith21@gmail.comという名のメールアカウントを作成します。本物のジョーが休暇中(ハッカーがFacebookから集めた情報です)、偽のジョーから、「ボブ、私は休暇中なんだが、我々の中国の請負業者に100,000ドルを電信送金しなければならないんだ。すぐに手配してもらえないだろうか。電信送金の指図はこの通り。」というメールが届きます。

もしあなたが細心の注意を払わなかったら、資金振替を完了してしまうかもしれません。これはビジネスメール詐欺によくある形式で、人々が考えるよりもずっと頻繁に起きています。このようなことを実行しないように特別にトレーニングを受けている人たちでさえも、「CEO」から何かをするように圧力をかけられると神経質になる傾向があります。結局のところ、これはジョーからの指示であって、見知らぬよそ者ではない、、、そんな風に考えてしまうかもしれません。

[ウェビナー]スピアフィッシング攻撃の分析

なぜフィッシングとスピアフィッシングを認識することが重要なのか?

最も深刻で高額な損害をもたらすデータ漏洩の多くは、その核心にスピアフィッシング攻撃があります。FBI2018年インターネット犯罪報告によれば、2018年のフィッシング攻撃による米国ビジネスの被害額は4,800万ドルであったのに対し、ビジネスメール詐欺は米国ビジネスに12億ドルの損害を与えました。

メールフィルターは、既知のフィッシングURLを含んだ大規模なフィッシングメールを阻止することができます。同様に、メールに既知のシグネチャを持つ添付ファイルが含まれている場合も、従来のメールフィルターはそのメールを捕獲することができます。しかし、フィッシングURLが未知の脅威である場合やURLも添付ファイルもない個別メールがボブから送信された場合などは、それらのメールは、例外なくほとんどのフィルターをすり抜けてしまいます。

このように、フィッシング、特にスピアフィッシングは、危険である上に非常に効果的な攻撃経路を備えています。しかし、それを防ぐことは可能です。 例えば、エンドユーザーの意識を向上させて、トレーニングを実施することで、ユーザーはフィッシングやスピアフィッシングメールを見分けられるようになります。さらに、Vadeのようなソリューションは、マシーンラーニング機械学習を含む人工知能を活用して、悪質なメール・URL・添付ファイル、および同僚や仕事上の知人へのなりすましの企てを阻止します。

2021年を決定づけたフィッシングの統計とトレンドはeBookをダウンロードしてご覧ください。