セキュリティ用語:スピアフィッシングとは?

「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方にセキュリティの頻出用語を解説します。今回は、「スピアフィッシング」についてです。

スピアフィッシングとは、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスできるようにしたりする不正なソーシャルエンジニアリングの手法です。

20160930_fotolia_44725068_subscri_2

魚釣り用語のスピアフィッシングは、銛(もり)を使って魚類を直接に捉える手法のことです。それが転じて、セキュリティ用語では狙いを定めてフィッシングを行うという意味になりました。ただし、魚釣り用語の「スピアフィッシング」の英語の綴りは”spearfishing”であり、セキュリティ用語の「スピアフィッシング」は“spearphishing“ という違いがあります。 

スピアフィッシングの多くは、電子メールを利用して行われます。サイバー攻撃者は、ユーザー名とメールアドレスを手に入れることができれば、すぐにスピアフィッシングでユーザーの機密情報を狙うことが可能です。サイバー攻撃者は、侵入したい企業や団体に対して、例えば、情報システム部門を装って従業員にパスワードを聞き出そうとするメールを送ったり、得意先企業からのメールを装ってニセのサイトに誘導してマルウェアに感染させ、企業情報や知的財産を盗もうとする場合などもあります。

攻撃対象にあわせて、送信者名(例:上司名、取引先担当者名)、件名(例:「定例会議事録の送付」「送別会のご案内」)、本文、添付ファイルなどを自然にカスタマイズしているため、攻撃対象者は自然に日常の業務をこなすように添付ファイルを開いたり、リンク先のURLをクリックしてしまいます。

このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合は、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速