生成AIの進化でより高度なフィッシングが可能に
- わずか数分程度のサンプルがあれば、ディープフェイク ボイス ジェネレーターが話し手をリアルに模倣して、電話を使ったビッシングを仕掛けられます。
- Zscaler ThreatLabzは、3つのプロンプトだけで次のような基本的な偽のMicrosoftログイン ページを作成しました。
スピア フィッシングは「ソーシャル エンジニアリング」技術を用いて、メールなどで特定の個人を騙そうとするサイバー攻撃の一種で、機密情報を抜き取ったり、ランサムウェアなどのマルウェアをダウンロードさせたりする目的で行われます。スピア フィッシング攻撃は一般的なフィッシング攻撃よりも巧妙で、一般公開された、もしくは窃取された個人データやターゲット独自の情報を悪用するのが特徴です。
フィッシング攻撃に関する最新レポートを読むスピア フィッシング攻撃はメール、ソーシャル メディアのメッセージ、SMS、もしくは信頼できる相手を装った電話などから始まります。サイバー犯罪者はターゲットの情報を織り交ぜた「本物らしい」文面を作成することで、受信者に添付ファイルを開かせたり、一見無害に見えるリンクをクリックさせたりします。
フィッシング メールではターゲットが利用する銀行のロゴなどのデザインがそのまま使われ、取引や重要な通知を確認するよう求める場合があります。メール内のリンクをクリックすると、銀行のサイトに見せかけた偽のWebサイトに移動し、銀行口座のログイン認証情報、クレジット カード、ソーシャル セキュリティ番号などを入力するよう促されます。
脅威アクターの中には友人、家族、同僚など、ターゲットの顔見知りになりすますこともあるため、受信者は「友人」からのメールと誤認して動画のリンクを開いたり、ファイルをダウンロードしたりする場合があります。知人を装ったメールはターゲットの警戒を緩めてしまうため、怪しい兆候に気づいたり、詐欺を疑ったりする可能性が低くなります。
生成AIの進化でより高度なフィッシングが可能に
フィッシング詐欺にはさまざまな手口と種類があります。スピア フィッシング攻撃でよく見られる例をいくつか紹介します。
その他の一般的なフィッシングについては、フィッシングとはをご覧ください。
暗号通貨取引を手掛けるBinanceは、2022年に発生したフィッシング攻撃で3番目に多く模倣されたブランドでした。(出典:2023年版ThreatLabzフィッシング レポート)
スピア フィッシング攻撃では誰でも標的になる可能性があり、攻撃側は個人情報、特に機密情報を使用してより説得力のある形で攻撃を仕掛けてきます。組織の経営層は、より機密性の高いデータを取り扱うことが多いため、ターゲットになりやすい傾向があります。
教育機関や政府機関が扱う機密情報の量と範囲は非常に大きく、スピア フィッシング キャンペーンの標的にされるケースが少なくありません。Zscaler ThreatLabzの調査結果によれば、2022年に教育機関が受けたフィッシングは576%の急増をみせ、これは攻撃者が世界中のリモート学習に関連する脆弱性や米国の学生向け債務救済システムを悪用したためと考えられています。
サイバー犯罪者は企業のシステムに侵入して、膨大な量の機密情報にアクセスします。特に金融業界やテクノロジー業界のデータ侵害は、復旧費用や罰金、顧客の信頼喪失など、企業に数百万ドル規模の損失をもたらす可能性があります。クラウドやリモート ワークへの大規模な移行によりIT環境が分散したことで攻撃ベクトルが増加し、ビジネスはこれまで以上に脆弱になっています。
スピア フィッシングの成功を防ぐには、適切な予防策を講じる必要があります。そのために企業が取るべきアクションをいくつか紹介します。
主要なセキュリティ ソリューションで全体的なリスクを軽減します。
一般的なセキュリティ意識向上トレーニングの一環として、すべてのユーザーは次のようなスピア フィッシングの兆候を見極める方法を理解する必要があります。
これはスピア フィッシング メールの一例ですが、独特の言い回しと細部まで作り込まれている点に着目してください。
組織内の関係者全員がセキュリティ脅威やポリシーについて最新の情報を入手できるようにすることで、大きな成果を期待できます。すべてのフィッシングは人間の信頼を逆手に取るもので、たった一人のユーザーが悪意のあるリンクをクリックするだけで企業の環境は危険にさらされるのです。
セキュリティ意識向上トレーニング プログラムでは、職務上直面する可能性のあるサイバー脅威、スピア フィッシング メールやその他の標的型攻撃を特定する方法、フィッシングを報告する手段と報告先などについて関係者を教育する必要があります。
また、サイバーセキュリティの専門家のサービスを利用することも重要です。ソーシャル エンジニアリング技術はトレンドや新しい手法によって常に進化しているため、簡単には対処できません。ビジネスを熟知している専門家と協力することで、従業員が必要とするすべてのガイダンスとサポートを受けることができます。
人間の性質を巧みに悪用するため、ユーザーの侵害は対応が最も難しいセキュリティ課題の1つです。ターゲットを至近距離から攻撃するスピア フィッシングはより危険で、簡単に侵害につながる可能性があります。被害を最小限に抑えるには、より広範囲にわたるゼロトラスト戦略の一環として、効果的なフィッシング対策を実装する必要があります。
Zscaler Zero Trust Exchange™プラットフォームは包括的なゼロトラスト アーキテクチャー上に構築されており、攻撃対象領域を最小限に抑え、不正侵入を防ぐために次の方法を用いてフィッシングを阻止します。
ゼロトラスト アーキテクチャーがフィッシング攻撃から組織を保護する方法については、Zero Trust Exchangeのページをご確認ください。
ほとんどのフィッシングは不特定多数を攻撃対象としていますが、スピア フィッシングは特定の個人を標的にします。攻撃者は通常、攻撃を開始する前にターゲットに関する情報を入手し、それらをもとにより信憑性の高い文面を作り上げます。
2013年から2015年にかけて、FacebookとGoogleの実際のビジネス パートナーであるテクノロジー企業「Quanta」を装い、両社に約1億ドルを請求するという攻撃が発生しました。攻撃者は起訴されたものの、両社とも被害総額の約半分しか回収できませんでした。
2016年に起きたBEC詐欺では、ベルギーを拠点とするCrelan Bankが経営幹部を装った攻撃者から資金の移動を指示され、7,000万ユーロを超える資金がだまし取られています。
サイバー犯罪者は一般的に、ターゲットに関する情報を盗んだり、公開されているソーシャル メディアなどから情報を収集したりしてから、スピア フィッシング攻撃を仕掛けます。
フィッシング メールを受信した場合はすぐに報告し、決して返信したり関わりを持たないようにしてください。組織のセキュリティ部門、インシデント対応部門、またはIT部門の担当者からソフトウェア ベンダーなどの関係者に通知して、攻撃が繰り返される可能性を減らします。
最も一般的なフィッシング攻撃はメールを介して実行され、データの提供やマルウェアのダウンロードを誘導するメッセージでターゲットをだまします。最近ではボイス フィッシング攻撃(ビッシング)やSMSメッセージ フィッシング(スミッシング)も一般的になりつつあります。