【解説】
経営者を標的にした「スピア・フィッシング」攻撃にご用心

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

（2008年04月15日）

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。

Robert McMillan
IDG News Serviceサンフランシスコ支局

「貴殿は連邦裁判所で提訴されたため……」
CEOに直接届く、偽の召喚状

　米国CyveillanceのCEO、パノス・アナスタシアディス（Panos Anastassiadis）氏は、4月14日朝に届いた偽の召喚状のリンクをクリックすることなく難を逃れたが、それは同氏がコンピュータ・セキュリティ会社の経営者だったからであり、一般企業のCEOの中にはうっかりクリックした人が少なからずいたようだ。

　事実、セキュリティ・リサーチャーらによると、この日大量に送信され、「貴殿は連邦裁判所で提訴されたため、Webリンクをクリックして裁判書類をダウンロードされたし」と書かれた詐欺メールに引っかかった企業幹部は数千人に上るという。このリンクをクリックすると、まず詐欺サイトに誘導され、書類を閲覧するためのブラウザ・プラグインをインストールするよう指示される。犯罪グループはこのマルウェアを通して標的のコンピュータを乗っ取るわけだ。

　こうした電子メールによるターゲット攻撃は「スピア・フィッシング」と呼ばれ、一般的なフィッシング攻撃の進化形として急増している。いずれの攻撃も偽の電子メール・メッセージを使ってユーザーを悪意あるWebサイトに誘い込む点では同じだが、スピア・フィッシングの場合、攻撃者は標的に即した情報を盛り込むことでメッセージの信憑性を高めようとする。

　Anastassiadis氏に届いた電子メールには同氏の本名と会社名が記載されていたうえ、電話番号も正しかったと、Cyveillanceの製品管理担当ディレクター、ジェームズ・ブルックス（James Brooks）氏は説明する。「彼はセキュリティ業界の人間なのですぐにうさん臭さを感じ取り、メールを当社のオペレーション・センターに転送した」（Brooks氏）

　一方、米国VerisignのiDefense部門ではこの日、メッセージをクリックした1,800人以上の被害者を追跡する作業が行われた。「被害者数という点では、おそらく過去最大級のスピア・フィッシング攻撃だ」と、同部門のRapid Response Team担当ディレクター、マット・リチャード（Matt Richard）氏は述べている。

　今回の詐欺メールの背後にいる犯罪グループは、先月、米国商事改善協会（BBB：Better Business Bureau）を装って偽の電子メールで攻撃を仕掛けたグループと同一であるとVerisignは見ている。米国の裁判所は、陪審員としての出廷義務を果たさなかったとしてフィッシング・サイトに個人情報を入力するよう求める詐欺メールがあとを絶たないとして、何年も前からコンピュータ・ユーザーに警鐘を鳴らしてきた。

｜1｜2｜ > 次のページへ