一斉攻撃ではなく標的攻撃: スピアフィッシングの標的になる可能性

受信箱の迷惑メッセージにはどんなものがあるのか?

誰もがよく知る迷惑メールは、さまざまな方法で添付ファイルの開封、機密情報の漏えい、有害なリンクのクリックを促してきます。こうした大量に一斉送信されるメールは「フィッシング」メールに分類され、不注意な標的を見つけることが目的とされています。これに対して「スピアフィッシング」は完全に個人を対象とし、セキュリティーシステム上の最大の脆弱性を標的としています。その標的とは従業員に他なりません。

確実に目的を果たすための調査と準備

スピアフィッシングは、事前に特定の情報を収集して信用を獲得し、最終的には標的となる被害者からの協力を得ます。攻撃者は状況に応じて企業パートナー、同僚、顧客、またはサービスプロバイダなどを装い、警戒心を解くような送信者名と内容で信用と信頼を獲得します。このような接触では信頼性をさらに高めるために、SNSの情報などがよく利用されます。攻撃者の利益になるアクションの実行、内部情報の漏えいを標的に促すだけではなく、金融詐欺や企業秘密、機密情報の窃盗も彼らの狙いとなっています。

攻撃を見分ける方法とは?

メールを確認する際に健全な不信感や知識を持つことで、詐欺行為を見極めやすくなります。サービスプロバイダ、同僚、顧客、あるいはパートナーを名乗る送信者から、機密情報の送信やアカウントの確認、パスワードの変更、その他の怪しいアクションを求めるメッセージを受信したら、まず疑って、確認してください。注意深く確認すると、通常ではありえない手順などが見つかる場合もあります。攻撃者が接触手段を掌握している可能性が疑われる場合には(メールアカウントの乗っ取りなど)、電話などほかの手段で確認する必要があります。別の通信手段を用いることは、スピアフィッシングの特定と回避に有効な手段となるでしょう。

予防措置

銀行では個人情報や口座情報に関する問い合わせを受け付けないことを明確にしています。企業内でも同様の原則を取り決め、密接なコミュニケーションを図ることで予防に努めることができます。特に経理、開発、サポートといったリスクの高い部署では、十分な研修を実施し、従業員全員がセキュリティ意識を強く持つことが不可欠です。重要なプロセスにおいては、複数人によるダブルチェックを行い、安全性をさらに高める必要があります。また、攻撃対象となり得る経路を最小限に抑えるために、個人情報や企業内部情報へのアクセス制限することが推奨されます。

なぜスピアフィッシング攻撃はいまだに有効なのか?

現在、企業では全従業員が研修を受け、誰もがこうした事象に敏感になっています。それでも、同僚や信頼のおける人物からの具体性を持ったメッセージを見つけると、せっかくの警戒心が消えてしまう場合があります。スピアフィッシングは、標的の信用を得ようとますます巧妙になっています。特に友人や同僚を名乗る人物が緊急の支援を求めてくる内容であれば、慎重さも研修で得た知識もなくしてしまう傾向が強まります。このような場合に備えて、2つのアプローチを実践しましょう。1つは、定期的に情報をアップデートすること、もう1つは研修および技術的なセキュリティをアップデートすることです。また、最近ではメッセージに潜む矛盾や、有害ソフトウェアのダウンロードを検出して回避する優れたマルウェア対策システムも見られるようになっていますので、ぜひ対策をご検討ください。