スピアフィッシングとは？攻撃の手口と被害を防ぐ対策を徹底解説

通常のフィッシングとの違い

通常のフィッシングは、不特定多数に同じ内容のメールを大量送信する手法であり、「数を打てば当たる」という考え方に基づいています。メールの内容は汎用的なものがほとんどです。

それに対し、スピアフィッシングは特定のターゲットに合わせて内容が巧妙にカスタマイズされています。

送信元アドレスやメール署名も本物に酷似させるため、受信者は偽物と見分けがつきにくく、結果として通常のフィッシングよりも高い成功率を誇ります。

通常のフィッシング詐欺について知りたい方は以下の記事をご覧ください。

【関連記事】フィッシング詐欺とは？具体的な手口や被害に遭わないための対策

上司や経営者になりすます

社内の上司やCEOを装ったメールで緊急の送金や機密情報の提供を指示する手口であり、「CEO詐欺」とも呼ばれています。

具体的には、「至急対応してほしい」「この件は誰にも言わないでくれ」といった文言を添えることで、受信者の警戒心を巧みに下げようとするのが特徴です。

この手口による被害は世界中で報告されており、一度の攻撃で数千万円から数十億円もの被害が発生した事例も存在します。

取引先や顧客を装う

実在する取引先や顧客の名前を騙り、請求書や見積書を添付したメールを送りつける手口です。

普段からやり取りのある相手からのメールに見せかけることで、添付ファイルの開封率を高めようとする狙いがあります。

添付ファイルにマルウェアが仕込まれていたり、振込先口座が攻撃者のものに差し替えられていたりするケースが多く、一見しただけでは偽物と気づくことは困難です。

人事・IT部門を装う

人事部からの給与明細確認依頼や、IT部門からのパスワード変更要請を装う手口も頻繁に使われます。社内の正規連絡に見せかけることで、受信者は疑いなくリンクをクリックしてしまいがちです。

「システムメンテナンスのため本日中に対応が必要」といった緊急性を持たせる文言が添えられることも多く、リンク先の偽サイトでIDやパスワードを入力させて認証情報を窃取するのが典型的なパターンとなっています。

時事ネタや緊急性を利用する

災害支援の呼びかけや税金還付の案内など、時事的なテーマを利用して関心を引く手口もあります。

社会的に注目度の高い話題を絡めてメールの開封率を上げ、「本日中に手続きしないと権利が失効します」など緊急性を煽る文言で冷静な判断を妨げるのが常套手段です。

こうした心理的圧力によって、普段なら気付くはずの不審点を見落としてしまうケースが後を絶ちません。

ターゲットの選定と情報収集

攻撃者はまず、標的となる個人や組織を慎重に選定します。

選定後はSNSや企業サイト、ニュース記事、さらにはLinkedInなどのビジネスSNSからターゲットの情報を徹底的に収集していきます。

役職や担当業務、取引先との関係性だけでなく、趣味や出身校まで調べ上げることも珍しくありません。こうした情報を基にターゲットが信頼しやすいメールのシナリオを練り上げます。

偽装メールの作成と送信

収集した情報を基に、ターゲットが疑いを持ちにくい内容のメールを作成します。

送信元アドレスは本物に酷似したものを用意し、メール署名やロゴ、文面のトーンまで精巧に偽装します。

相手の名前や具体的な業務内容、最近のプロジェクト名などを盛り込み、本物のビジネスメールと見分けがつかないレベルに仕上げるのが特徴です。

準備が整ったら、ターゲットの警戒心が下がりやすい時間帯やタイミングを狙ってメールを送信します。

認証情報の窃取またはマルウェア感染

メールを受け取ったターゲットがリンクをクリックすると、本物そっくりに作り込まれた偽サイトに誘導されます。そこでIDやパスワードを入力させて認証情報を窃取するのが代表的な手口です。

添付ファイルを開かせてマルウェアに感染させるパターンもあり、感染後は社内システムへの侵入経路として悪用されます。

なお、マルウェア感染の危険性については以下の記事で詳しく解説しています。

【関連記事】マルウェアとは？種類や感染経路、感染した場合の症状や対処法を解説

情報の悪用と被害の発生

窃取した認証情報を使って社内システムに不正アクセスし、機密情報や顧客データを盗み出します。

不正送金によって直接的な金銭被害が発生することも多く、被害額が数千万円から数十億円規模に達した事例も報告されています。

攻撃の発覚が遅れるほど被害は深刻化するため、早期検知の仕組み作りが欠かせません。

大手映画館グループのCEOが約2,000万ユーロの被害

2018年、ヨーロッパの大手映画館グループでスピアフィッシングによる大規模な被害が発生しました。

攻撃者はフランス本社のCEOになりすまし、オランダ支社のCEO宛てに送金を求めるメールを送信したのです。

メールは本社CEOのアドレスから届いたように偽装されており、支社CEOは違和感を覚えながらも、上司からの指示だと信じて送金手続きを実行してしまいました。

結果として約2,000万ユーロもの被害が発生し、人間心理の隙を突くスピアフィッシングの恐ろしさを示す典型的な事例となりました。

GoogleとFacebook合わせて約1億2,200万ドルの被害

2013年から2015年にかけて、GoogleとFacebookが大規模なスピアフィッシング被害に遭いました。

リトアニア出身の攻撃者は、台湾に実在するハードウェアメーカーになりすまして両社の従業員に偽の請求書メールを送信しました。

メールには未払い代金の振り込みを求める内容が記載されていたとのことで、正規の取引先からの請求だと信じ込んだ担当者が指定口座に送金を繰り返しています。

被害総額はGoogleとFacebook合わせて約1億2,200万ドルに達しました。

日本年金機構から個人情報125万人分が流出

2015年、日本年金機構がスピアフィッシング攻撃を受け、約125万件もの年金加入者情報が外部に流出する事件が発生しました。

攻撃者は学術機関の職員を装い、セミナーの案内状と称したウイルス付きのファイルを添付したメールを送信していました。

このメールを開封した職員の端末がマルウェアに感染し、LANシステム内のファイル共有サーバーに保管されていた基礎年金番号や氏名などの情報が盗み取られたのです。

国内の公的機関としては過去最大規模の情報流出であり、標的型攻撃への備えの重要性を社会に強く印象づけた事例となりました。

従業員へのセキュリティ教育を継続する

人的面のスピアフィッシング対策として、従業員へのセキュリティ教育を継続することが大切です。一度きりの教育では効果が薄れてしまうため、継続的に実施する姿勢が求められます。

特に経理部門や役員秘書など、送金や機密情報を扱う部署には重点的な教育を施し、攻撃の標的になりやすいことを認識してもらいましょう。

メールセキュリティツールを導入する

スパムフィルターやサンドボックス機能を備えたメールセキュリティ製品を導入することで、不審なメールを自動的にブロックできます。

AIを活用した不審メール検知ツールを併用すれば、人的チェックだけでは見落としがちな巧妙な攻撃も検出しやすくなるでしょう。

ただし、ツールだけで全ての攻撃を防げるわけではありません。技術的な対策と従業員教育を組み合わせることで、より強固な防御体制を構築できます。

多要素認証（MFA）を必須化する

パスワードが漏洩した場合でも不正アクセスを防げるよう、多要素認証を全社的に導入することが有効です。

パスワードに加えてスマートフォン認証や生体認証など複数の要素で本人確認を行えば、認証情報を窃取されても被害を食い止められます。

特に経理や人事など機密情報を扱う部門では必須の対策といえるでしょう。多要素認証の詳細は以下の記事で解説しています。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

送金・情報提供の承認フローを厳格化する

一定金額以上の送金や機密情報の外部提供には、複数人の承認を必須とするルールを設けましょう。メールの指示だけで重要な意思決定を行わない仕組みを構築しておくことが大切です。

例えば、「送金依頼があった場合は必ず電話で本人に確認する」といったルールを徹底することで、なりすまし被害を大幅に減らせます。

緊急性を装った依頼ほど慎重に対応するよう、社内全体に周知徹底してください。

インシデント対応体制を整備する

インシデント対応体制の整備もスピアフィッシング対策に有効です。被害が発生した際の初動対応や報告フローを事前に定めておけば、被害拡大の防止に期待できます。

対応手順を文書化しておくだけでなく、定期的な訓練を通じて実効性を確認しておきましょう。