McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

Corporate] 2016年9月30日 更新

第33回:今だから学ぶ! セキュリティの頻出用語:スピアフィッシングとは?

 

「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第33回は、「スピアフィッシング」についてです。

スピアフィッシングとは、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスできるようにしたりする不正なソーシャルエンジニアリングの手法です。

20160930_fotolia_44725068_subscri_2

魚釣り用語のスピアフィッシングは、銛(もり)を使って魚類を直接に捉える手法のことです。それが転じて、セキュリティ用語では狙いを定めてフィッシングを行うという意味になりました。ただし、魚釣り用語の「スピアフィッシング」の英語の綴りは”spearfishing”であり、セキュリティ用語の「スピアフィッシング」は“spearphishing“ という違いがあります。 

スピアフィッシングの多くは、電子メールを利用して行われます。サイバー攻撃者は、ユーザー名とメールアドレスを手に入れることができれば、すぐにスピアフィッシングでユーザーの機密情報を狙うことが可能です。サイバー攻撃者は、侵入したい企業や団体に対して、例えば、情報システム部門を装って従業員にパスワードを聞き出そうとするメールを送ったり、得意先企業からのメールを装ってニセのサイトに誘導してマルウェアに感染させ、企業情報や知的財産を盗もうとする場合などもあります。

攻撃対象にあわせて、送信者名(例:上司名、取引先担当者名)、件名(例:「定例会議事録の送付」「送別会のご案内」)、本文、添付ファイルなどを自然にカスタマイズしているため、攻撃対象者は自然に日常の業務をこなすように添付ファイルを開いたり、リンク先のURLをクリックしてしまいます。

このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合は、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。


参考: スピアフィッシングに対するベストプラクティス

【関連用語】
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第8回:今だから学ぶ! セキュリティの頻出用語 : ソーシャルエンジニアリングとは?

【関連記事】
今だから学ぶ! セキュリティの頻出用語シリーズ 過去10記事
第32回:今だから学ぶ! セキュリティの頻出用語:ショルダーハックとは?
第31回:今だから学ぶ! セキュリティの頻出用語:SQLインジェクションとは?
第30回:今だから学ぶ! セキュリティの頻出用語:ブルートフォースアタックとは?
第29回:今だから学ぶ! セキュリティの頻出用語:C&Cサーバーとは?
第28回:今だから学ぶ! セキュリティの頻出用語:ゼロデイ攻撃とは?
第27回:今だから学ぶ! セキュリティの頻出用語:CVEとは?
第26回:今だから学ぶ! セキュリティの頻出用語:ペネトレーションテストとは?
第25回:今だから学ぶ! セキュリティの頻出用語:レピュテーションとは?
第24回:今だから学ぶ! セキュリティの頻出用語 : 辞書攻撃とは?
第23回:今だから学ぶ! セキュリティの頻出用語 : ワームとは?

「今だから学ぶ! セキュリティの頻出用語」アーカイブ 第1回~第19回

2017 MPOWER : Tokyo開催
必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.