攻撃と脅威
スピアフィッシング
別称: 標的型フィッシング
定義
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
スピアフィッシングは、攻撃者が事前に標的の役職・同僚・取引先・進行中のプロジェクト・直近の活動などを調査し、極めて文脈に適合した説得力のあるメッセージを送り付ける標的型のソーシャルエンジニアリング攻撃です。大量配信のフィッシングと異なり、送信数は少なくても口実が精緻なため、成功率が大幅に高くなります。主な目的は認証情報の窃取、不正送金の誘導、マルウェア配送、ネットワークへの初期侵入などです。対策としては、強固なメール認証(DMARC、SPF、DKIM)、フィッシング耐性のある多要素認証、機微な依頼に対するアウト・オブ・バンド確認、ハイリスク部門への重点教育などが有効です。
例
- CFO になりすまし、特定の経理担当者へ取引先の振込先変更を緊急に依頼するメール。
- LinkedIn 風のメッセージで開発者を偽のコードレビューサイトに誘導し、バックドアを送り込む。
関連用語
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ホエーリング攻撃
経営幹部などの高価値ターゲットを狙うスピアフィッシング攻撃。多くは多額の不正送金や戦略情報の取得を目的とする。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。