はじめに
フィッシング攻撃と聞くと、不特定多数にばらまかれる怪しいメールを想像する人が多いでしょう。
しかし、近年もっとも被害が大きいのは、特定の個人や組織を狙い撃ちする Spear Phishing(スピアフィッシング) です。
Spear(槍)という名前の通り、この攻撃は広く網を投げるのではなく、1人の標的を正確に突き刺すスタイルが特徴です。
Spear Phishing の定義
Spear Phishing(スピアフィッシング) とは、
特定の個人・部署・企業を狙い、事前に情報収集した上で、
その人に「刺さる内容」にカスタマイズして行うフィッシング攻撃
のことを指します。
通常のフィッシングとの違いは以下の通りです:
| 種類 | 特徴 |
|---|---|
| フィッシング | 不特定多数に同じ内容を送る |
| スピアフィッシング | 特定の相手向けに内容を作り込む |
| ホエーリング | 社長・役員など「大物」を狙う |
なぜ Spear Phishing は危険なのか?
理由はシンプルです。
- メールの内容が本人の状況に合っている
- 差出人や文面が実在の人物・組織っぽい
- 「これは本物だろう」と疑う理由がほぼない
たとえば:
「先日の◯◯案件の件ですが、修正版の資料を共有します」
「人事部の△△です。来月の評価面談資料を確認してください」
こうしたメールは、普段の業務と区別がつきません。
結果として、リンクを踏んだり、添付を開いたりしてしまう確率が一気に跳ね上がります。
攻撃の裏側:どうやって「刺さるメール」を作るのか
攻撃者は事前に OSINT(公開情報収集) を行います。
- 会社のWebサイト
- LinkedIn / X / Facebook
- プレスリリース
- 採用情報
- GitHub
- ブログ、登壇資料
そこから次のような情報を集めます:
- 部署構成・役職
- プロジェクト名
- 取引先
- 使っていそうなツール
- 最近のイベント・ニュース
そして、それを元に**「その人の日常に溶け込む内容」**を作ります。
典型的な被害パターン
1. アカウント乗っ取り
- 偽の Microsoft / Google / 社内SSO ログインページに誘導
- ID・パスワードを入力させて奪取
- 正規ユーザーとして侵入される
2. マルウェア感染
- 「請求書」「見積書」「契約書」などの添付ファイル
- 開いた瞬間にマルウェア実行
- 社内ネットワークに横展開
3. 業務メール詐欺(BEC: Business Email Compromise)
- 経理や財務を狙う
- 「この口座に至急送金して」
- 数千万円〜数億円規模の被害も現実に発生
なぜ技術対策だけでは防ぎきれないのか?
Spear Phishing は、
- 正規のメールっぽい
- 正規の業務フローっぽい
- 正規の人間関係を模倣してくる
つまり、「人の判断」を通過する前提で設計された攻撃です。
メールフィルタやウイルス対策をすり抜けることも多く、
最終防衛ラインは人間の確認行動になります。
防御の基本戦略
人の運用ルール
- 「いつもと少しでも違う」メールは一度止まる
- 送金・認証情報・ファイル実行は別経路で確認
- 差出人名ではなくメールアドレスの実体を見る
- 「急ぎ」「内密」「今すぐ」は赤信号
技術的対策
- 多要素認証(MFA)の徹底
- メールのDMARC / DKIM / SPF 設定
- 添付ファイルのサンドボックス検査
- URLのリアルタイムチェック
- 権限の最小化とログ監視
Red Team 視点(防御のための理解)
実際のRed Team演習では、Spear Phishing は初期侵入の王道手法です。
- 技術的に堅牢な組織ほど、人を狙う
- 1人のアカウント侵害から横展開
- 最終的にドメイン全体の支配に至るケースも珍しくない
だからこそ、防御側は「自分も狙われる前提」で訓練する必要があります。
まとめ
Spear Phishing とは、
「あなたのことを調べ尽くした上で、あなた専用に作られるフィッシング攻撃」
普通のフィッシングよりもはるかに見抜きにくく、はるかに危険です。
最後に守ってくれるのは、ツールではなく、
「ちょっと待てよ?」と立ち止まる人間の習慣です。