［米国］
急増するスピア・フィッシング、15カ月間で約1万5,000人が被害に

日々進化する攻撃手法、「被害件数は今後も拡大する」と専門家

（2008年06月09日）

　米国VeriSignの研究者は先ごろ、「スピア・フィッシング（Spear Phishing）」の被害者が、過去15カ月間で約1万5,000人に達したことを明らかにした。

　スピア・フィッシングとは、特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む攻撃手法である。送りつけられる電子メールには、被害者の名前や被害者の雇用者の名前などの個人情報が記載されており、一見すると合法的なメールに見えるのが特徴だ。

　VeriSignによると、2007年2月以降に起きた66件のスピア・フィッシング攻撃を追跡した結果、攻撃の95％は、2つの犯罪組織のどちらかが関与していたという。

　VeriSignのiDefense部門Rapid Response Team担当ディレクターであるマシュー・リチャード（Matthew Richard）氏は、「特に今年の4月と5月に、スピア・フィッシング攻撃が急増している」と指摘した。

　「攻撃者らはメールの配信方法を変更したり、入手した個人データを“活用”したりして、常に新たな攻撃を仕掛ける。すべての企業人（特に経営者層）が、スピア・フィッシングのターゲットとなっていると言っても過言ではない」（Richard氏）

　今年4月には、企業幹部をターゲットにした大規模なスピア・フィッシング攻撃が仕掛けられた。これは「あなたは連邦裁判所で提訴された」という趣旨のメールとともに、裁判書類を閲覧するため、指定のWebサイトからブラウザ・プラグインをインストールするよう促されるというもので、被害者は数千人に上るという（関連記事）。

　「召喚状を装ったメールは、経営幹部に効いたようだ。訴訟になるかもしれない恐怖でうろたえ、警戒心が鈍ってしまった」（Richard氏）

　またVeriSignによると、5月には2,000人以上が米国国税庁（IRS）や米国連邦租税裁判所、米国商事改善協会（BBB：Better Business Bureau）を装ったスピア・フィッシング・メールを信じ、その餌食になってしまったという。

　「スピア・フィッシングは手口が巧妙で攻撃手法も進化している。今後も攻撃は続くだろう」（Richard氏）

(Robert McMillan／IDG News Serviceサンフランシスコ支局)