スピアフィッシング vs フィッシング:違いを見極めよう。フィッシングとは、ハッカーが正規の組織や関係者になりすましながら、消費者や企業ユーザーに大量のメールを送りつけ、受信者の信頼を獲得し、危機感を煽って、認証情報の開示や金銭の提供を説得する詐欺行為のことを指します。一方、スピアフィッシングは、ハッカーや悪意のある人物が、特権的なアクセス権を持つ人物やグループの連絡先を入手する詐欺行為と説明されています。
最近、インターネットを利用していると、スピアフィッシングとフィッシングという2つの新しいサイバー攻撃について耳にすることがほとんどでしょう。この2つの攻撃には、違いがあることが分かっています。このブログでは、スピアフィッシングとフィッシングについて深く説明し、どちらの攻撃に注意すべきかを知っていただくことを目的としています。
スピアフィッシング VS フィッシング:定義
スピアフィッシング
スピアフィッシングは、個人情報を利用して受信者に特定の行動をとるよう説得する、標的型フィッシングの一種です。スピア型フィッシングの目的は、ユーザー名、パスワード、クレジットカード番号、社会保障番号などの機密情報または機密情報にアクセスすることです。このような攻撃では、通常、銀行などの金融機関、給与計算部門、オンライン小売業者など、正規のソースから来たように見える電子メールメッセージを使用します。
攻撃者は、電子メールのなりすまし、動的URL、ドライブバイダウンロードなどを利用して、セキュリティ対策を回避し、スピアフィッシング攻撃を行うことがあります。また、プラグインやプログラム、ブラウザのゼロデイ欠陥につけこむ高度な攻撃もあります。スピアフィッシング攻撃は、最終的にバイナリダウンロード、マルウェア通信、データ流出を行う多段階の高度持続的脅威(APT)攻撃の初期段階である可能性があります。
フィッシング
フィッシングとは、ソーシャルエンジニアリングの一種で、通常、大人数に送られる大量の電子メールを利用して、電子メール内のリンクをクリックしたり、添付ファイルを開いたりして、ユーザー名、パスワード、クレジットカード番号などの個人情報を開示させるように仕向けるものである。また、フィッシャーは、銀行や雇用主などの信頼できる組織になりすまし、個人情報を盗み出そうとします。
フィッシング攻撃は、受信トレイを持つ人なら誰でも知っている。最近のフィッシング攻撃は、信頼できる企業や銀行からの本物のEメールに見えることが多い。リンクをクリックしたり添付ファイルをダウンロードしたりする前に、送信者のアドレスにマウスオーバーしてその正確性を確認するような観察力のあるユーザーでなければ、それが悪意のあるメールであることを見抜くことはできないだろう。
フィッシング攻撃は、一人の人間に狙いを定めるのではなく、多くの人間をターゲットにして、少数の人間を捕まえるという、数の勝負に出る。
フィッシングとスピアフィッシング:主な統計データ
年々、フィッシング攻撃は広がりを見せています。ここでは、いくつかの重要な数字について検証してみます。
- ベライゾンによるとフィッシング詐欺の96%は電子メールで送信されています。
- テシアン は、年間平均14通の不正な電子メールを受け取っていると主張しています。
- CISCOによると86%の企業で、少なくとも1人の従業員がフィッシングリンクをクリックしました。
スピアフィッシングVSフィッシング:違いのまとめ
スピアフィッシングとフィッシングの概要は次のとおりです。
| スピアフィッシング | フィッシング | |
| 配送 | 具体的な | ランダム |
| 受取人 | 一人またはグループ | 数百人、数千人 |
| トーン | 親しみやすい | 形式的な |
| 個人アドレス | 個人 | 非人間的 |
| 努力 | 高 | 低 |
スピアフィッシング VS フィッシング:主な相違点
その他、スピアフィッシングとフィッシングの主な違いについてご紹介します。
起源フィッシングはスピアフィッシングより歴史が古い
フィッシングは、スピアフィッシングよりも長い期間存在しています。スピアフィッシングは、2003年に登場した新しい攻撃で、犯罪者が企業や大きなグループではなく、個人をターゲットにするようになりました。
ターゲティングスピアフィッシングは運ではなくソーシャルエンジニアリングで行われる
スピアフィッシャーは、個人または組織の個人情報を狙って、機密情報、金銭、またはその他の資産にアクセスするために使用します。フィッシャーは、一度に多くの人をターゲットにし、正規のメッセージのように見えるが、送信元が偽者であることを示す一般的なメッセージを使用します。
テクノロジー悪質なリンクに依存するフィッシングと、ペイロードがゼロのスピアフィッシング
フィッシングメールは、ユーザー名やパスワード、クレジットカード番号などの個人情報を騙し取るために、詐欺師によって大量に送信されることがよくあります。このようなメールには通常、添付ファイルやリンクが含まれており、偽のウェブサイトへ誘導して機密データを収集するように設計されています。一方、スピアフィッシングメールは、マスメールよりも標的を絞ったものですが、リンクをクリックさせたり添付ファイルを開かせたりするソーシャルエンジニアリングのトリックに依存していることに変わりはありません。スパムフィルターに検知される可能性が低いため、スピアフィッシングメールは標的の受信トレイから直接メッセージを送信することも可能です。
フィッシング、スピアフィッシング対策方法
ここでは、この2つの攻撃から身を守るための方法を紹介します。
DMARCでメールを認証する
DMARC(Domain-based Message Authentication Reporting & Conformance)は、電子メール検証システムで、メッセージ内の送信者のドメイン名の正当性を検証することにより、なりすましを防止することができる。DMARCは、メッセージを送信するメールサーバーが、Fromフィールドに記載されたドメイン名の所有者によって承認されているかどうかを確認することによって、これを実現する。
電子メール認証プロトコル SPFと DKIMが組み合わされてDMARCで使用されています。ウェブサイトやビジネスのオーナーとして、すべてのユーザーや受信者が、あなたが送信した、または承認したEメールだけを見ることができるようにしたいものです。電子メールを完全に保護し、各メッセージが意図的かつ安全で、サイバー犯罪者の活動がないことを保証する最善のアプローチは、DMARCを使用することです。
データの暗号化
パソコンやモバイル端末に機密情報がある場合は、パスワードで暗号化しておくとよいでしょう。もし誰かがあなたのデバイスを盗んだとしても、パスワードを知らなければ、あなたのデータにアクセスすることはできません。
アンチスパムフィルターを使用する
アンチスパムフィルターは、フィッシング詐欺などのスパムメールに対する最初の防衛手段です。受信トレイに届く前にブロックしたり、受信トレイに全く届かないようにしたりします。Microsoft Office 365、Gmail、またはフィルタリング機能が組み込まれたその他のメールプロバイダを使用している場合、すでにいくつかの種類のフィッシング攻撃から保護されているはずです。
フィッシングシミュレーションの実施
フィッシング・シミュレーションは、従業員が社内の受信トレイにある不正なメッセージを識別する能力をテストするものです。このテストでは、銀行、航空会社、公共事業などの既知の送信元から本物の電子メールを送信し(ただし、でっち上げの場合もある)、電子メールについて何かおかしいと感じたら報告するよう従業員に求めることがよくあります。
結論
スピアとフィッシングの論争は、明確な勝者がいないまま、永遠に続くと思われます。しかし、どちらも悪いものであり、それを避けるためにできることをするべきだという点では、両者とも同意することができます。スピア型フィッシングの脅威から身を守るために、私たちはさまざまな情報を提供しています。
フィッシングのような高度な電子メールベースの攻撃から保護するために、PowerDMARCは、次のようなものを採用することを支援します。 DMARCの実施 メール配信に妥協しない戦略 
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日
- PowerDMARCとZendata、ドメイン・セキュリティ強化のためのパートナーシップを締結- 2024年4月25日
- PowerDMARC、中東における電子メールセキュリティの実践を推進するためCNSと提携- 2024年4月24日