【セキュリティ】特定の標的を狙い撃ち!「スピアフィッシング」の脅威|情報処理問題1000本ノック
不特定多数にバラまくメールではなく、特定の組織や個人を「槍(スピア)」で突くように狙い撃ちにする。巧妙に進化したフィッシング詐欺の手口を正しく理解しましょう。
1. 問題:ターゲットを絞ったフィッシング攻撃
【 問題 】 特定の組織、団体、または個人を標的とし、業務に関係があるような件名や送信元を装って、偽のウェブサイトへ誘導したり、ウイルスを感染させたりする攻撃手法を何と呼ぶでしょうか?
① アドウェア ② スピアフィッシング ③ ランサムウェア ④ スキミング
2. 正解:標的型攻撃に関する正解
正解: ② スピアフィッシング
3. 解説:信頼を悪用する「槍」の攻撃
スピアフィッシングは、攻撃者が事前にターゲットの組織構成や取引先などを調査した上で行われます。「取引先からの請求書」や「社内のシステム更新のお知らせ」といった、受信者が思わず開いてしまうような自然な内容を装うのが特徴です。
【図解:通常とスピアの違い】
■ 通常のフィッシング(地引き網型)
・不特定多数に同じメールを送る。
・「銀行の口座確認」など、誰にでも当てはまりそうな内容。
■ スピアフィッシング(一本釣り型)
・特定の組織(例:〇〇株式会社の経理部)を狙う。
・「〇月分の出張精算について」など、ターゲットに特化した内容。
■ 通常のフィッシング(地引き網型)
・不特定多数に同じメールを送る。
・「銀行の口座確認」など、誰にでも当てはまりそうな内容。
■ スピアフィッシング(一本釣り型)
・特定の組織(例:〇〇株式会社の経理部)を狙う。
・「〇月分の出張精算について」など、ターゲットに特化した内容。
[ 関連用語の整理 ]
★ ホエーリング (Whaling):スピアフィッシングの中でも、特に組織の経営幹部(大物=クジラ)を狙うもの。
★ 標的型攻撃メール:スピアフィッシングを含む、特定の対象を狙った攻撃メールの総称。
★ ソーシャルエンジニアリング:人間の心理的な隙やミスを突いて情報を盗み出す手法。
★ ホエーリング (Whaling):スピアフィッシングの中でも、特に組織の経営幹部(大物=クジラ)を狙うもの。
★ 標的型攻撃メール:スピアフィッシングを含む、特定の対象を狙った攻撃メールの総称。
★ ソーシャルエンジニアリング:人間の心理的な隙やミスを突いて情報を盗み出す手法。
1. 理解のコツ: 網で魚をまとめて捕るのが「フィッシング」、狙った獲物を槍で突くのが「スピア(槍)フィッシング」です。中身が自分に関係あることなので、セキュリティ意識が高い人でも騙されやすい、非常に危険な攻撃です。
2. 試験対策の視点: 「特定の組織」「特定の個人」という限定的なキーワードが出たらスピアフィッシングを選びましょう。また、これらは「標的型攻撃」の一環として行われることが多いため、組織的な防御(不審なメールの報告訓練など)の重要性とセットで問われます。
4. まとめ
「標的を絞り込み、信頼関係を装って情報を盗む」。これがスピアフィッシングの本質です。技術的な対策だけでなく、情報の受け手側が「常に疑いを持つ」というリテラシーが求められる攻撃であることを押さえておきましょう!
PR