ニュースは、政府、大企業、政治活動家に対して「スピアフィッシング攻撃」が行われているという報告でいっぱいです。多くのレポートによると、スピアフィッシング攻撃は現在、企業ネットワークが侵害される最も一般的な方法です。
スピアフィッシングは、より新しく、より危険なフィッシング形式です。スピアフィッシングは、何かを捕まえることを期待して広い網を張るのではなく、慎重に攻撃を仕掛け、個人や特定の部門に狙いを定めます。
フィッシングの説明
フィッシングとは、信頼できる人になりすまして情報を取得しようとする行為です。たとえば、フィッシング詐欺師は、Bank of America を装ったスパムメールを送信して、リンクをクリックし、偽の Bank of America Web サイト (フィッシング サイト) にアクセスし、銀行口座の詳細を入力するよう求める可能性があります。
ただし、フィッシングは電子メールだけに限定されません。フィッシング詐欺師は、Skype で「Skype サポート」などのチャット名を登録し、Skype メッセージで連絡し、アカウントが侵害されたため、本人確認のためにパスワードまたはクレジット カード番号が必要であると告げる可能性があります。これはオンライン ゲームでも行われており、詐欺師がゲーム管理者になりすましてパスワードを求めるメッセージを送信し、それを使用してアカウントを盗みます。フィッシングは電話でも発生する可能性があります。過去に、Microsoft を騙り、ウイルスが感染しているので削除するには料金を支払わなければならないという電話を受けたことがあるかもしれません。
フィッシング詐欺師は通常、非常に幅広い網を張り巡らせます。 Bank of America のフィッシングメールは、Bank of America の口座を持っていない人も含め、何百万人もの人々に送信される可能性があります。このため、フィッシングは非常に簡単に見破られることがよくあります。 Bank of America との関係がなく、Bank of America からのものであると主張する電子メールを受け取った場合、その電子メールが詐欺であることは明らかです。フィッシング詐欺師は、十分な数の人々に連絡を取れば、最終的に誰かが詐欺に引っかかってしまうという事実に依存しています。これは、依然としてスパムメールが存在する理由と同じです。誰かがそのメールに騙されているに違いありません。そうしないと、利益が得られないからです。
詳細については 、フィッシングメールの構造 をご覧ください。
スピアフィッシングとの違い
従来のフィッシングが何かを捕まえることを期待して広範囲に網を張る行為であるとすれば、スピア フィッシングは特定の個人または組織を注意深くターゲットにし、攻撃を個人に合わせて調整する行為です。
ほとんどのフィッシングメールは具体的ではありませんが、スピアフィッシング攻撃では、個人情報を使用して詐欺が本物であるかのように見せかけます。たとえば、電子メールは「拝啓、素晴らしい富と富を得るためにこのリンクをクリックしてください」と読むのではなく、「こんにちは、ボブ、火曜日の会議で私たちが起草したこのビジネスプランを読んで、ご意見をお聞かせください。」と書かれているかもしれません。電子メールは、知らない人ではなく、あなたが知っている人から送信されたように見える場合があります (おそらく、 偽造された電子メール アドレス を使用していますが、フィッシング攻撃で危険にさらされた後の本物の電子メール アドレスを使用している可能性があります)。このリクエストはより慎重に作成されており、正当なものである可能性があります。このメールには、あなたの知人、あなたが行った購入、またはその他の個人情報が記載されている可能性があります。
高価値のターゲットに対するスピア フィッシング攻撃は 、ゼロデイ エクスプロイト と組み合わせることで最大の被害を得ることができます。たとえば、詐欺師は特定のビジネスの個人に「こんにちは、ボブ、このビジネスレポートを見ていただけますか?」という電子メールを送信する可能性があります。ジェーンは、フィードバックをくれると言っています。」正当に見える電子メール アドレスを使用して。このリンクは、ゼロデイを利用してコンピュータを侵害する Java または Flash コンテンツが埋め込まれた Web ページに移動する可能性があります。 (ほとんどの人が古くて脆弱な Java プラグインをインストールしているため、 Java は特に危険です 。) コンピュータが侵害されると、攻撃者は企業ネットワークにアクセスしたり、電子メール アドレスを使用して、社内の他の個人に対して標的を絞ったスピア フィッシング攻撃を開始したりする可能性があります。組織。
詐欺師は、 無害なファイルのように見せかけた 危険なファイル を添付することもあります。たとえば、スピア フィッシング メールには、実際には .exe ファイルである PDF ファイルが添付されている場合があります。
本当に心配する必要があるのは誰ですか
スピアフィッシング攻撃は、大企業や政府に対して内部ネットワークにアクセスするために使用されています。私たちは、スピアフィッシング攻撃によって侵害されたすべての企業や政府について把握しているわけではありません。多くの場合、組織は、侵害された攻撃の正確な種類を明らかにしません。彼らは自分たちがハッキングされたことをまったく認めたくありません。
簡単に検索すると、ホワイトハウス、フェイスブック、アップル、米国国防総省、ニューヨーク・タイムズ、ウォール・ストリート・ジャーナル、ツイッターなどの組織がすべてスピアフィッシング攻撃によって侵害されている可能性があることがわかります。これらは、侵害されたことがわかっている組織のほんの一部にすぎません。問題の範囲はさらに広い可能性があります。
攻撃者が本当に価値の高いターゲットを侵害したい場合、おそらくブラック マーケットで購入した新しいゼロデイ エクスプロイトと組み合わせたスピア フィッシング攻撃が非常に効果的な方法となることがよくあります。価値の高いターゲットが侵害された場合、その原因としてスピアフィッシング攻撃がよく挙げられます。
スピアフィッシングから身を守る
個人であれば、政府や大企業ほど巧妙な攻撃の標的になる可能性は低くなります。ただし、攻撃者はフィッシングメールに個人情報を組み込むことで、スピアフィッシング戦術を使用しようとする可能性があります。フィッシング攻撃はますます巧妙化していることを認識することが重要です。
フィッシングに関しては、注意が必要です。ソフトウェアを最新の状態に保つと、メール内のリンクをクリックした場合にセキュリティが侵害されることを防ぐことができます。メールに添付されたファイルを開くときは特に注意してください。個人情報を求める異常な要求には、たとえそれが正当なものであるかのように見えるものであっても、注意してください。パスワードが漏洩した場合に備えて、別の Web サイトで パスワードを再使用しないでください 。
フィッシング攻撃は、正規の企業が決して行わないことを試みることがよくあります。銀行があなたにメールを送ってパスワードを尋ねることは決してありませんし、商品を購入した企業があなたにメールを送ってクレジット カード番号を尋ねることは決してありませんし、正規の組織からパスワードを求めるインスタント メッセージを受け取ることもありません。またはその他の機密情報。フィッシングメールやフィッシングサイトがどれほど説得力があるとしても、メール内のリンクをクリックして機密の個人情報を提供しないでください。
あらゆる形式のフィッシングと同様、スピア フィッシングはソーシャル エンジニアリング攻撃の一種であり、防御が特に困難です。誰か 1 人が間違いを犯すだけで、攻撃者はネットワークに足がかりを確立してしまいます。
画像クレジット: Flickr のフロリダの魚と野生生物
