まずはこれまでのフィッシング詐欺とスピアフィッシング詐欺の違いから見ていこう。

フィッシング

フィッシング（Phishing）は、送信者を詐称したメールやSMSで攻撃者が作成した偽のホームページなどへのリンクへ誘導し、そのサイト上で入力されたアカウント情報やクレジットカード情報などを盗み出す詐欺手法だ。

フィッシング（Phishing）という言葉は、魚釣り（fishing）と洗練（sophisticated）を組み合わせて作られた造語で、独立行政法人情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威 2025 [個人]」では、2019年以来7年連続での選出となっており、現在も被害が後を絶たない。

スピアフィッシング

スピアフィッシング（Spear Phishing）は、組織内の特定の個人や部署などを標的に定めて行うフィッシング攻撃の一つである。

スピアフィッシング（Spear Phishing）は、素潜りやスキューバダイビングなどでモリなどを使用して魚を捕らえるスピアフィッシング（Spearfishing）から名付けられた造語だ。スピア(Spear)はやりを意味する言葉で、特定の相手をやりで突くように攻撃を行うことに由来している。

スピアフィッシングはさかのぼること2010年代から被害が報告されている。

2013〜15年に台湾に実在する電子機器メーカーを偽装し、Google社やFacebook社(現在、Meta社)の従業員に対して偽メールが送信された。偽装された電子機器メーカーへの未払い代金を指定の口座に振り込むように誘導する内容で、実際に送金してしまった事件が発生した。

同様の事件は日本でも報告されており、2015年に日本年金機構の職員のPC宛てに添付ファイル付きメールが送信され、それを開封したことでマルウェアが起動し、約125万件の年金情報が漏えいする被害が発生している。

このサイバー攻撃に使用されたのは、「Blue Termite」によるものとされている。

「Blue Termite」とは日本国内を標的とした特定のターゲットから長期間にわたり情報を収集する攻撃手法のことである。

攻撃の仕組みは、前述の事例と同様に日本語ファイル名のWordファイルを装ったEXEファイルを送信し、それを開封するとマルウェアが実行されて感染。感染されたデバイスから攻撃者へと情報が窃取されるという仕組みだ。

どの企業もスパムメールは対策済みだと思われるが、それでもそのセキュリティを突破する巧妙な手口が使用されている。

例えば、実在する企業の正規のURLやセキュリティポリシーページへのリンクの中に一つだけフィッシングサイトへのリンクを紛れ込ませることで、迷惑メールではなく正規メールだと判断されてしまうことがある。受信者側も該当企業からの正規メールと信じやすく、被害に遭うケースが多い。同様に、実際に存在する正規のサイトのコードに悪意のあるコードを混在させたメールも、正規メールと誤認してしまう恐れがある。

また、フィッシングサイトにIDやパスワードを入力させた後、正規のサイトにリダイレクトさせる手口も使用されている。この方法では被害の発覚が遅れる可能性が高い。

その他にもメール内のロゴや画像に細工を施すなど、さまざまな手法が存在する。

関連記事：多要素認証を突破する新たな脅威「AitM攻撃」とは

一般的なフィッシング詐欺と比較して、よりターゲットに合わせた内容のフィッシングメールが送信されるため、被害に遭う可能性が高い。しかし、スピアフィッシングに特化したソリューションがあるわけではないため、基本的には通常のフィッシング詐欺と同様の対策を行うことになる。

スピアフィッシングの攻撃者は、攻撃を仕掛ける前にターゲットを入念に調査する。その中で狙われやすいのは、ネットワークへのアクセス権限を持つ中堅・新人社員などだという。

これらのターゲットは上層部に比べ、セキュリティポリシーを熟知していない可能性が高く、支払い業務を行う経理担当者やネットワークのIT管理者、人事管理者もターゲットにされやすい。

スピアフィッシングへの対策と並行して社内での周知や研修を行う工夫も必要だろう。