スピアフィッシングとフィッシング：主な違いは何ですか?

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

グレイログ

フィッシングとは何ですか?

フィッシングは基本的にオンライン版の釣りですが、魚ではなく、騙されやすいユーザーを誘い込み、悪意のあるリンクをクリックさせたり添付ファイルを開かせたりすることで、パスワードや個人情報を盗み出すことが目的です。典型的な攻撃はメールを通じて行われます。

場合によっては、サイバー犯罪者がクラウド サービス プロバイダーの代表者を装い、さまざまなオンライン サービスやアプリケーションに関連するメッセージを送信することがあります。

フィッシングメールは巧妙に書かれていることが多いです。よくある手口は、FacebookやMicrosoftといった評判の高いブランド、銀行、インターネットサービスプロバイダー、IRS（内国歳入庁）、法執行機関などを装うことです。これらのメールには、本物のように見せかけるために、適切なロゴが含まれています。指示に従ってログイン情報を渡したり、リンクをクリックしたりすると、デバイスが感染したり、マルウェアがダウンロードされたり、ネットワークからロックアウトされて身代金を要求されたりする可能性があります。

クラウドで実行されているアプリケーションに侵入すると、脅威アクターはより多くのアカウントやサービスに攻撃を拡大することができます。例えば、組織のGoogleやMicrosoftのクラウドに侵入すると、攻撃者はメールアカウント、連絡先リスト、ドキュメント作成機能にアクセスできるようになります。フィッシングキャンペーンでクラウドの認証情報を入手することで、攻撃者はより大規模なペイロードを仕掛ける可能性が高まります。

フィッシングメールやメッセージをどのように見分けることができますか?

フィッシング詐欺の試みは本物に見えることもありますが、メッセージがフィッシング攻撃の一部であることを示す明らかな兆候があります。以下に注意すべき点をいくつか挙げます。

• 誤字またはスペルの誤り。
• 記号や句読点の異常な使用。
• 内容が矛盾しているか、書き方が下手です。
• メッセージまたは電子メールは不明な受信者から送信されました。
• 「お客様各位」や「ユーザー各位」などの一般的な挨拶を使用します。
• たいてい、信じられないほど素晴らしい話について話します。
• 疑わしいリンクや添付ファイルがあります。

スピアフィッシングとは何ですか?

フィッシングは、1通のフィッシングメールが数百万人に送信されるという点で一般的ですが、スピアフィッシングは高度に標的を絞ったものです。2023年のレポートで述べたように、その目的は企業のCEOやCFOなど、特定の人物の認証情報を盗み出すことです。

スピアフィッシングでは、メッセージは綿密に作成されます。犯罪者はソーシャルメディアの投稿やプロフィールを研究し、被害者に関する可能な限り多くのデータを入手します。場合によっては、被害者のメールアドレスにアクセスし、数ヶ月間姿を現さずに、その人物がどのようなトラフィックを流入しているかを検証します。

スピアフィッシングのメッセージは、個人の生活や仕事から得たデータに基づいているため、一般的なフィッシング攻撃よりもはるかに信憑性が高くなるように作られています。偵察活動によって、フィッシングメール、テキストメッセージ、または電話は非常にパーソナライズされたものになります。

クラウドにおいて、価値の高い標的となるのは、数千もの個別アカウントにまたがるシステムの管理者権限を持つ人物です。ハッカーはたった一つのIDを侵害することで、さらに数千のユーザーに感染を広げることができます。

参照: Linux のセキュリティ保護ポリシー (TechRepublic Premium)

フィッシングとスピアフィッシングの主な違いは何ですか?

スピアフィッシングが通常のフィッシングと異なる点は、メッセージがより詳細で、親しみやすい口調で書かれていることです。スピアフィッシングでは、驚きと緊急性のレベルが通常より高く、金銭の送金を伴うことも少なくありません。

誤解のないよう明確に述べておくと、フィッシングメールの兆候の多くは、スピアフィッシングにも当てはまります。例えば、本文中の誤字、文法の誤り、不明な受信者からのメール、疑わしいリンク、偽りの緊急性、機密情報の入力を求めるメールなどが挙げられます。

フィッシングメールは、特定の個人ではなく、不特定多数の人々に送信されます。例えば、数千人、あるいはある会社の全社員に、IT部門がリンクをクリックしてフォームに入力することで認証情報を確認するよう求めているという内容のメールが送信されることがあります。

スピアフィッシングはより具体的な標的を定めます。例えば、CEOのアシスタントが、CEOのメールを偽装した犯罪者の標的となる場合があります。ハッカーは数ヶ月にわたってメールやソーシャルメディアを監視しており、CEOが海外に滞在中に、大きな取引が成立し、取引が成立するタイミングを掴んでいます。

次に、犯罪者は、CEO から送信されたように見える、または CEO のアカウントから送信されたように見える電子メールを送信し、アシスタントに計画変更があったため、x 万ドルをすぐに新しいアカウントに振り込むように伝えます。

フィッシングとスピアフィッシングから身を守る方法

組織がフィッシング攻撃やスピアフィッシング攻撃から身を守るために実行できる手順はいくつかあります。

スパム対策フィルターをインストールする

スパムフィルターは、スパムやフィッシングメールの最大99%を捕捉します。絶対確実ではありませんが、かなりの数のメールを捕捉できます。スパムフィルターは、最新の詐欺やハッカーの手口に基づいて継続的に更新されるため、必ず設定しておきましょう。

VPNを使用する

VPNは、リモートワークを行うユーザーにインターネットよりも高いメッセージプライバシーを提供する仮想プライベートネットワークです。ユーザーは暗号化されたトンネルを使用して接続するため、第三者によるデータの傍受は困難です。また、VPNを使用すると、メールメッセージやクラウドの利用にさらなる保護層が追加されるため、フィッシング攻撃の成功も困難になります。

多要素認証（MFA）ソリューションを活用する

MFAは常に実装する必要があります。たとえ誰かがパスワードを漏洩したとしても、認証アプリ、テキストメッセージ、生体認証、またはその他の認証方法によって認証されるため、被害を与えることはできません。

ウイルス対策ソフトウェアをインストールする

ウイルス対策ソフトウェアは、システムへのウイルス感染を防ぐことを約束した、セキュリティ対策の原点でした。しばらくの間は効果を発揮していましたが、ハッカーはそれを回避する方法を見つけ出しました。しかし、ウイルス対策ソフトウェアがなければ、多くのマルウェアが企業に大混乱を引き起こすでしょう。あらゆる種類のウイルスやマルウェアを捕捉できるウイルス対策ソフトウェアを、セキュリティ対策の必須ツールとして活用しましょう。

クラウド セキュリティ態勢管理ソフトウェアを実装する

クラウドセキュリティ態勢管理は、予防、検知、対応、そして次にリスクが出現する可能性のある領域への予測といった一連のステップを組み合わせることで、クラウドリスクを継続的に監視します。このテクノロジーは予測的なアプローチを追加することで、フィッシングやスピアフィッシング詐欺の削減に大きな効果をもたらします。

この記事はもともと2024年2月に公開されました。2025年1月にLuis Millaresによって更新されました。