スピアフィッシング - スピアフィッシング
特定の個人・組織を標的にカスタマイズされたフィッシング攻撃。標的調査に基づく高い成功率が特徴。
概念図
攻撃シナリオ
業務メールに偽装したスピアフィッシング
bash
From: 山田太郎 <yamada@kaisya-example.co.jp>
Subject: Re: 先日の打ち合わせ資料の件
Body: 田中さん、お疲れ様です。先日お話しした資料を共有します。
添付ファイルをご確認ください。
(添付: Q4_財務資料.xlsm ← マクロ付きマルウェア)社内 IT を装ったスピアフィッシング
bash
From: it-support@kaisya-exsample.co.jp ← 1 文字違い
Subject: 【重要】SSO アカウントの再認証が必要です
Body: https://sso-kaisya.example-login.com/ (偽装 SSO ページ)スピアフィッシングの特徴
通常のフィッシングが「網を広く投げる」のに対し、スピアフィッシング(Spear Phishing)は 「銛で 1 点を狙う」 攻撃です。
数百〜数千の標的に事前に時間をかけ、1 人ひとりに合わせた文面を作り込みます。
| 観点 | 通常のフィッシング | スピアフィッシング |
|---|---|---|
| 標的数 | 数百万人規模 | 数人〜数十人 |
| 文面 | 汎用(テンプレート) | 個別カスタマイズ(実名・役職・具体的な案件) |
| 送信元 | 既知のブランド(銀行・宅配) | 実在の同僚・取引先・上司 |
| 成功率 | 1% 未満 | 10〜50% と報告される |
| 用途 | クレデンシャル収集 | 初期侵入・BEC・スパイ活動 |
スピアフィッシングは APT(高度持続的脅威)の初期侵入手段として最も多用され、国家支援型攻撃グループ(APT29、Lazarus など)の常套手段になっています。
OSINT による事前調査
攻撃者はまず OSINT(Open Source Intelligence)で標的の情報を大量に集めます。
| 情報源 | 得られる情報 | 攻撃への活用 |
|---|---|---|
| LinkedIn / Wantedly | 役職・上司・部下・スキル・在籍期間 | 組織図の再構築、成りすまし先の決定 |
| 企業公式サイト / プレスリリース | 新規プロジェクト・提携先・役員人事 | 「例の案件」という曖昧な口実を自然に使える |
| 採用ページ | 使用している技術スタック(AWS、Salesforce、Okta 等) | SaaS の偽ログインページを準備 |
| GitHub / 技術ブログ | 社内ツール名・ライブラリ・コードスタイル | 技術者向けの偽 OSS アップデート通知 |
| Facebook / Instagram | 趣味・家族構成・最近の出張 | 「先週お会いしましたね」といった親近感 |
| Have I Been Pwned | 過去に使っていたパスワード | 再利用チェック |
これらを組み合わせることで、攻撃者は「同僚しか知らないはずの話題」を自然に織り込んだメールを送ることができます。
BEC(ビジネスメール詐欺)との関係
スピアフィッシングの最も収益性の高い応用が BEC(Business Email Compromise) です。
FBI の IC3 レポートによると、BEC は 2023 年だけで約 29 億ドルの被害を出しており、ランサムウェアの被害額を上回っています。
典型的な BEC の流れ:
- スピアフィッシングで経理担当者または CFO の Microsoft 365 / Google Workspace アカウントを侵害
- メール受信箱のフィルタールールを追加し、「invoice」「送金」などのキーワードを含むメールをゴミ箱に自動転送(気付かれないようにする)
- 過去のメールから取引先・送金フロー・承認者を学習
- 取引先になりすまして「振込先口座が変更になりました」と偽メールを送信
- 被害者は正規の取引と信じて攻撃者の口座に送金
有名事例:
- 2013-2015 Facebook / Google — リトアニアの攻撃者 Evaldas Rimasauskas が取引先を装い、両社から合計約 1.2 億ドルを詐取
- 2019 Toyota Boshoku 子会社 — 約 37 百万ドル(約 40 億円)を詐取された日本での大規模 BEC 事例