スピアフィッシングとは?
意味・定義
スピアフィッシングは、特定の個人や組織を標的としたフィッシング攻撃の一形態です。一般的なフィッシング攻撃が不特定多数を狙うのに対し、スピアフィッシングはターゲットの個人情報を収集し、信頼できる情報源を装って接触します。これにより、被害者は攻撃者を信じやすくなり、機密情報や金銭を不正に開示してしまうリスクが高まります。
目的・背景
スピアフィッシングは、攻撃者が特定の個人に対して精密に設計された攻撃を実施するために生まれました。これにより、広範囲な攻撃よりも高い成功率を誇ります。特に企業環境では、重要な情報を持つ役職者(いわゆる「ハイバリューターゲット」)を狙うことが多く、企業にとっては重大なセキュリティリスクとなります。このような攻撃手法は、日常的に使用されるコミュニケーションチャネルを悪用するため、被害者が気づかないまま情報が漏洩する可能性が非常に高いのです。
使い方・具体例
- 攻撃者がターゲットのSNSアカウントを調査し、個人情報を使って信頼性のあるメッセージを作成します。
- 企業の同僚を装ったメールを送り、緊急のファイル送信を求めることで、機密情報を引き出そうとします。
- 公式な企業のウェブサイトを模倣した偽サイトを作成し、パスワードを入力させる手法を用います。
- イベントやセミナーの情報を利用して、参加者を狙ったフィッシング攻撃を実施します。
- ターゲットの過去のビジネス関連のやりとりを参考にした、非常にリアルなメールを送信します。
別名・同義語
スピアフィッシング対策, phishing-protection-4
関連用語
試験対策や体系的な理解を目的とする場合、以下の用語もあわせて確認しておくと安心です。
まとめ
- スピアフィッシングは、特定の個人を狙ったフィッシング攻撃の一種である。
- 攻撃者は信頼できる情報源を装い、ターゲットから情報を引き出そうとする。
- 企業にとっては、特に重要な役職者を狙われることで深刻なリスクを伴う。
現場メモ
スピアフィッシングの攻撃は、日常業務の中で巧妙に行われることが多く、従業員が注意を怠ると被害が発生しやすいです。特に、急を要する状況を装った緊急の連絡は警戒が必要です。対策として、従業員に対する定期的なセキュリティ教育や、疑わしいメールの報告制度を設けることが効果的です。