ソーシャルエンジニアリングの一形式であるスピアフィッシングは、個人になりすまして受信者を騙し、ハッカーの要求、一般的に金銭的な性質のものですが、それを実行させようとする悪質メールです。たいていの場合、ハッカーは、同僚、重役、顧客、業者などの被害者の知人になりすまします
2019年のスピアフィッシングによる米国ビジネスの被害額は17
―FBIインターネット犯罪報告2019年
信頼できる送信者からのメールを読んでいると受信者に思わせるために、ハッカーは正規の送信者とメールアドレスになりすますことのできる「スプーフィング」という手法を用います。メールスプーフィングには、主要な3つの方法があります
表示名スプーフィングは、メールアドレスは別のものを用いて、表示名だけなりすます方法です。多くのユーザーは、表示された名前を見るとすぐにその送信者を信用してしまうため、この方法は効果的です。また、多くのメールクライアント、中でもモバイルのクライアントは、送信者名のみを表示して、メールアドレスは表示しないため、この方法には効果があります。
この方法は、表示名スプーフィングよりも高度ですが、SPF(Secure Policy Framework)、DMARC(Domain Message Authentication Reporting)、DKIM(Domain Keys Identified Email)を使って、比較的容易に検知できます。ドメインスプーフィングを使うことで、ハッカーは、なりすましたいメールアドレスを指定できます。メールアドレスが信頼できる送信者のアドレスの完全な複製である場合、そのメールがなりすましだとユーザーに気づかれることはほとんどありません。
クロース・カズンのメールアドレスは、正規のメールアドレスとほとんど同じですが、わずかな違いがあります。かつては、クロース・カズンスプーフィングの攻撃は、microsoft.comの代わりに mIcrosoft.comを使うなど、比較的分かりやすいものでした。今日では、これらの攻撃は、user@mycompany.comの代わりにuser@mycompanyltd.comとするなど、より高度化して見分けにくくなっています。 これらの僅かな変化は、特にそのメールが緊急のものである場合、急いでメールを読んで返信しなければならない忙しい従業員がそれを見分けるのは非常に困難です。さらに、DMARCとSPFは、クロース・カズンには効果がありません。というのも、これらは正確なドメインしか保護しないからです。
スピアフィッシングとフィッシング攻撃は、どちらもなりすましを利用して詐欺を行います。この二つの違いは、スピアフィッシングメールは人になりすますのに対して、フィッシングメールはブランドになりすますという点です。フィッシングと異なり、スピアフィッシングは単独の個人を狙います。そして、メールにはリンクも添付ファイルもないうえに、アカウントの認証情報ではなく、通常電信送金やギフトカード、または銀行振込先の変更などを要求してきます。以下はフィッシングとスピアフィッシングメールの二つの例です。
フィッシング/ソーシャルエンジニアリングは、2018年の中小企業に対するサイバー攻撃の52%を占めた
-Keeper/Ponemon
人を騙して機密情報や認証情報を差し出させるための方法が尽きることはありません。また一方で、ハッカーが何度もメールを送信してくる巧妙なスピアフィッシング攻撃もあります。
重役のふりをしたハッカーは、社員に複数のギフトカードを購入して、カード裏面に記載されたコードを送信するように求めます。たいていの場合、ハッカーは現在ミーティング中だとか外出中だと言います。これによって、その重役がGmailやYahooメールなどの個人のメールアドレスからメールを書いていることの真実味が高まります。
この詐欺の一つの手口では、ハッカーは社員を装って、人事部のアシスタントにメールを送信し、給与振込先の銀行口座番号の変更を依頼します。また、別の手口では、ハッカーは業者を装って経理部のスタッフにメールを送信し、会社の銀行口座と銀行支店コードが変更されたので、今後の支払は新しい口座へするように通知します。
重役を装ったハッカーは、人事部のスタッフにメールを送信して、社員の収入と課税控除が示されている米国の納税申告用紙であるW-2フォームを要求します。納税時期は、経理部と人事部にとって特にストレスの多い時期です。そして、時間の制限がある中でさらに圧力がかかることで、彼らは、この種の攻撃に引っかかってしまうことが多くなります。
ビジネスメール詐欺(BEC)の名でも知られるこのスピアフィッシング攻撃は最も大きな損害を出します。経営トップを装ったハッカーは、電信送金の形で資金を要求します。世間の注目を集めたケースの多くでは、数百万ドルの大金が不正な銀行口座に送金されていたことに、企業は全く気付いていませんでした。
Microsoft 365のハッキングによく見られる方法の一つであるマルチフェーズ攻撃は、フィッシングから始まって、スピアフィッシングに進化します。ハッカーはMicrosoftになりすまして、社員にフィッシングメールを送信します。被害者は、知らず知らずのうちに、フィッシングページで自分のMicrosoft 365のログイン認証情報を差し出してしまいます。被害者のユーザー名とパスワードを武器に、ハッカーは会社のMicrosoft 365のエコシステムに侵入し、そこで正規のMicrosoft 365のメールアドレスを使ってスピアフィッシング攻撃を開始します。
2018年の米国のビジネスメール詐欺の被害者は2万人以上に及んだ
-FBI
一回限り、しかも、テキストのみのスピアフィッシングメールは、表面的には高度なものに見えないかもしれません、しかし、そこにはソーシャルエンジニアリングが働いており、高度なレベルの心理操作を及ぼします。以下はそのいくつかの例です:
プリテキスティングの使用:スピアフィッシングの犯人は、まず気さくなメールを被害者に送信して、「休暇はどうだった?」とか「昇進おめでとう」など、他愛のない話を始めます。 これにより、被害者の警戒心が和らぎ、犯人からの最終的な要求を受け入れてしまうような状況が作られます。ちなみに、その最終的な要求は、何度かメールのやり取りをした後で現れることになります。
緊急の依頼:たいていの場合、スピアフィッシングの犯人は、数時間、あるいは数分のうちに、電信送金、銀行口座情報の変更、クライアント用のギフトカードの購入などをしなければならないことを被害者に納得させてしまいます。
モバイルからメールを送信:重役になりすましたスピアフィッシングの犯人は、外出中であるとか、場合によっては海外にいるなどと言って、至急被害者の助けが必要だと主張してくる手口がよくあります。「iPad、またはAndroidデバイスから送信」と加えることで、このような要求の真実味が高まるだけでなく、誤字などのメール内の誤りの言い訳にもなります。これは、同様に、Gmailなどの社外のメールアドレスを使用していることの口実にもなります。
スピアフィッシングにはURLや添付ファイルがないため、これを検知するのは非常に困難です。従来のメールフィルターは、時代遅れの方法で脅威を阻止しようとしますが、そのほとんどがスピアフィッシングとの戦いにおいては無力です。最適なスピアフィッシング対策には高度な方法が必要です。
従来のメール対策
ネイティブなMicrosoft 365のメールセキュリティの全体的な精度定格は僅か8%
– SE Labs
予測防衛
予測防衛を備えた教師あり学習と教師なし学習のマシンラーニングモデルの組み合わせを含む人工知能(AI)は、一体となってスピアフィッシングの決定的な特徴や検知が困難な兆候を特定します。
Vade Secureからのメールセキュリティに関する最新ニュースとインサイトを受信する