Social Engineering

Spear Phishing

スピアフィッシング

Category: Social Engineering / Updated: 2026-05-26

📖

Overview

スピアフィッシング(Spear Phishing)とは、特定の個人や組織を狙って巧妙にカスタマイズされたフィッシング攻撃です。一般的なフィッシングが不特定多数に同一のメールを送信するのに対し、スピアフィッシングはターゲットの氏名、役職、所属組織、取引先などの情報を事前に調査し、高い信頼性を持つメッセージを作成して送信します。

攻撃者はOSINT(オープンソースインテリジェンス)やSNS情報を活用して標的の詳細なプロファイルを構築します。LinkedInやFacebookなどのソーシャルメディアから得た情報をもとに、実在する同僚や取引先を装ったメールを送信し、添付ファイルの開封やURLのクリック、認証情報の入力などを誘導します。

スピアフィッシングはAPT(Advanced Persistent Threat:高度持続的脅威)攻撃の初期段階として頻繁に用いられ、標的型攻撃の最も一般的な侵入手法の一つです。FBI によると、BEC(ビジネスメール詐欺)を含むスピアフィッシング被害は年間数十億ドル規模に達しており、企業・組織にとって最大級のサイバー脅威となっています。

🔬

Details

スピアフィッシングの攻撃プロセス

スピアフィッシング攻撃は通常、複数のフェーズで構成されます。まず偵察(Reconnaissance)フェーズでは、攻撃者がターゲットの組織構造、人間関係、業務プロセスなどの情報を収集します。次に武器化(Weaponization)フェーズでは、収集した情報を基に説得力のあるメールを作成し、マルウェアを仕込んだ添付ファイルや偽のログインページへのリンクを用意します。

配送(Delivery)フェーズでは、ターゲットにメールを送信します。攻撃者は送信元アドレスの偽装、類似ドメインの取得、正規のメールスレッドへの割り込みなど、様々な手法を使ってメールの真正性を装います。

BEC(ビジネスメール詐欺)との関係

BEC(Business Email Compromise)はスピアフィッシングの一形態であり、企業の経営層や財務担当者を標的にした詐欺です。攻撃者はCEOや取引先になりすまし、緊急の送金指示や請求書の支払い先変更を求めます。

BEC攻撃では、マルウェアを使用しないケースも多く、純粋にソーシャルエンジニアリング技術に依存します。攻撃者は実際のビジネスメールのやり取りを観察した上で、適切なタイミングと文体で偽のメールを送信するため、技術的なセキュリティ対策だけでは防御が困難です。

ホエーリング(Whaling)

ホエーリングは、CEOやCFOなどの経営幹部(VIP)を標的にしたスピアフィッシングの一種です。「大物(whale)を狙う」ことからこの名称が付けられました。経営幹部は機密情報へのアクセス権限が広く、資金移動の承認権を持つため、攻撃に成功した場合の被害額が大きくなる傾向にあります。

ラテラルフィッシング

ラテラルフィッシング(Lateral Phishing)は、組織内の侵害されたメールアカウントから他の従業員に向けてフィッシングメールを送信する手法です。正規のアカウントから送信されるため、受信者が疑いを持ちにくく、従来のメールセキュリティ製品でも検知が困難です。

AIを活用した次世代スピアフィッシング

近年、大規模言語モデル(LLM)を活用したスピアフィッシングが急速に進化しています。AIにより、文法的に完璧で自然な文体のフィッシングメールを大量に生成でき、ターゲットごとにパーソナライズされたメッセージを自動作成することが可能になっています。従来の「不自然な日本語」という判別基準が通用しなくなりつつあります。

🛡️

Security Measures

  • 01
    メール認証技術の導入:SPF、DKIM、DMARCを適切に設定し、送信元ドメインの偽装を検知・ブロックしてください。DMARC ポリシーをp=rejectに設定することで、なりすましメールの配送を防止できます。
  • 02
    標的型攻撃対応訓練の実施:従業員に対して定期的なフィッシングシミュレーション訓練を実施し、不審なメールの識別能力を向上させましょう。特に経営層や財務部門など、高リスクな役職には重点的な訓練が必要です。
  • 03
    多要素認証(MFA)の全面導入:認証情報が窃取された場合でも不正アクセスを防止するため、すべてのアカウントにMFAを導入してください。特にFIDO2/WebAuthnベースのパスワードレス認証が推奨されます。
  • 04
    送金・契約変更の多段階承認プロセス:送金指示や取引先口座変更などの重要な操作は、メール以外の通信手段(電話・対面)での確認を必須とする承認プロセスを構築してください。
  • 05
    AIベースのメールセキュリティ導入:従来のシグネチャベースの検知に加え、機械学習を活用した異常検知システムを導入し、送信者の行動パターンや文体の変化からスピアフィッシングを検知しましょう。
  • 06
    SNS上の情報公開の制限:従業員に対してSNS上での業務情報や組織構造に関する情報公開を制限するポリシーを策定し、攻撃者の偵察活動に利用される情報を最小化してください。
⚠️

Incidents

📋 日本航空(JAL)BEC詐欺事件(2017年)

2017年、日本航空がスピアフィッシングを起点としたBEC詐欺により約3億8,000万円の被害を受けました。攻撃者は取引先の航空機リース会社になりすまし、リース料の振込先口座を変更するよう指示するメールを送信しました。

メールは実際の取引先のメールアドレスに酷似したドメインから送信されており、請求書のフォーマットも実物に忠実に再現されていました。担当者は正規の取引と信じて指定口座に送金してしまい、資金は即座に複数の海外口座に分散されました。

📋 ソニーピクチャーズへの標的型攻撃(2014年)

2014年、ソニーピクチャーズエンタテインメントが大規模なサイバー攻撃を受けました。攻撃の初期段階でスピアフィッシングメールが使用され、従業員の認証情報が窃取されたとされています。

攻撃者はApple IDの確認を装ったメールを複数の従業員に送信し、偽のログインページに誘導して資格情報を収集しました。取得した認証情報を使ってネットワークに侵入し、最終的に未公開映画、従業員の個人情報、役員間の機密メールなど大量のデータが流出しました。

📋 Twitterの大規模アカウント乗っ取り(2020年)

2020年7月、Twitter(現X)で著名人のアカウントが一斉に乗っ取られ、暗号資産詐欺のツイートが投稿される事件が発生しました。攻撃者は電話によるスピアフィッシング(ビッシング)でTwitterの従業員を標的にし、社内ツールへのアクセス権を取得しました。

バラク・オバマ元大統領、ジェフ・ベゾス氏、イーロン・マスク氏など130以上のアカウントが影響を受け、約12万ドル相当のビットコインが詐取されました。この事件は、従業員への電話ベースのスピアフィッシングの有効性を実証しました。

🔗

Related Terms

フィッシング ビッシング(電話フィッシング) ソーシャルエンジニアリング OSINT メール認証(SPF/DKIM/DMARC)