スピアフィッシングとフィッシングの違いは何ですか？

標的の絞り込みと攻撃の精度が違います。一般的なフィッシングは不特定多数に同じメールを大量送信します。スピアフィッシングは特定の個人や組織を狙い、氏名・役職・取引先など事前収集した情報を織り込んで本物らしく偽装します。精度が高い分、受信者が警戒心を持ちにくく、成功率も高くなります。

知っている取引先からのメールでも疑うべきですか？

予期しない添付ファイルやリンクが含まれているときは疑ってください。取引先の名前・メールアドレスは偽装できますし、取引先のアカウントが実際に乗っ取られているケースもあります。知っている相手からでも、事前に連絡のない添付ファイルやリンクが届いたら、メールに返信するのではなく電話で直接確認することを習慣にしてください。

添付ファイルを開いてしまいました。どうすれば？

すぐにネットワーク接続を切断し、IT部門または専門家に連絡してください。個人の場合はセキュリティソフトでスキャンを実行し、パスワードを全て変更します。その後IPA安心相談窓口（03-5978-7509）に状況を報告してください。マルウェアは開いた直後から情報を送信し始める可能性があるため、速やかな対処が重要です。

スピアフィッシングとホエーリングの違いは何ですか？

標的の範囲が違います。スピアフィッシングは特定の個人・組織を狙う標的型フィッシング全般を指します。ホエーリングはその中でも、CEO・CFO・役員など経営幹部という大物に絞ったものです。ホエーリングはスピアフィッシングの一種で、標的の権限が高い分、攻撃で引き出せる被害額と情報の価値が大きくなります。

スピアフィッシングとは？狙い撃ちの標的型フィッシング攻撃

スピアフィッシングとは？ざっくりと3行で

スピアフィッシングとは、特定の個人や組織を事前に徹底調査したうえで、本物そっくりにパーソナライズした標的型フィッシング攻撃のことだ。
SNSや企業サイトから氏名・役職・取引先を収集し、実在する人物や組織を名乗った精巧なメールを送りつけ、添付ファイルのクリックや情報入力へと誘導してくる。
仕組みを知っておけば、本物らしいメールでも添付・URLは独立した経路で確認する習慣が持てて、標的型攻撃による被害を防げる。

【深掘り】これだけは知っておけ
1. スピアフィッシングの主な手口
典型的なフレーズ・文脈
困ったときの相談窓口
【まとめ】3つのポイント
よくある質問

【深掘り】これだけは知っておけ

スピアフィッシングのこわさは、一般的なフィッシング詐欺に対する警戒心が、本物らしさによってすり抜けてしまう点にあります。自分宛の業務メールだと思わせる精度が、判断のフィルターを外します。

スピアフィッシングは、不特定多数に投げかける一般的なフィッシングが網漁とすれば、特定のターゲットを狙い澄ます銛漁に由来します。攻撃者はSNS・LinkedIn・企業サイト・求人情報・プレスリリースなどを使ってターゲットの氏名・役職・部署・取引先・業務内容を事前収集し、その情報を織り込んだメールを作成します。Verizon Data Breach Investigations Report 2024によれば、APT攻撃の70%がスピアフィッシングから開始されています。

攻撃の目的は多岐にわたります。アカウントのIDとパスワードを偽サイトで窃取する。マルウェアを仕込んだ添付ファイルを開かせる。企業ネットワークへの侵入口を作る。金融機関の担当者を装って振込先を変更させる。SNSの普及でターゲットの情報収集が容易になった結果、テレワーク普及後さらに被害が拡大傾向にあります。

見抜くポイントは、送信者が知っている情報が含まれていても、その経路を信頼しないことです。予期しない添付ファイルやURLが届いたら、そのメールに返信するのではなく、電話や別のメールアドレスなど独立した手段で送信者に確認してください。

個人ができる対策は三つです。一つ目は、SNS上での公開情報を最小限にすること。勤務先・役職・取引先を無制限に公開すると、攻撃者の情報収集を助けます。二つ目は、予期しない添付ファイルやリンクは必ず独立した経路で確認してからクリックすること。三つ目は、メールアカウントに多要素認証を設定すること。アカウントが奪われても被害の拡大を止められます。

スピアフィッシングの主な手口

手口の種類	典型的な内容	見抜くポイント
偽の業務メール	実在する取引先・上司を装った業務連絡	予期しない添付・URLは別経路で確認
パスワードリセット偽装	社内システムのメンテナンスでログイン要求	社内システムURLを自分で開いて確認
振込先変更指示	取引先を装った振込口座の変更依頼	電話で本人に直接確認する

典型的なフレーズ・文脈

詐欺師

山田様、先日はご多忙の中ありがとうございました。先週のお打ち合わせ内容をまとめた資料を添付いたします。ご確認の上、ご意見をいただけますと幸いです。

実在する取引先の名前・打ち合わせという事実を装い、マルウェア入りの添付ファイルを開かせようとする、スピアフィッシングの精巧な手口です。

キャスター

IPAは、テレワーク普及後に標的型メール攻撃が増加しているとして、予期しない添付ファイルやリンクが届いた際は別の手段で送信者に直接確認するよう呼びかけています。

スピアフィッシング攻撃の増加を報じる報道番組や、IPAの注意喚起を想定した表現です。

専門家

本物らしいメールでも、予期しない添付やリンクは返信でなく電話か別のメールで確認を。多要素認証の設定も有効です。被害に遭ったらすぐに03-5978-7509へ。

IPA担当者が、予期しない添付・リンクへの別経路確認の大切さを予防の観点から助言する場面を想定しています。

困ったときの相談窓口

スピアフィッシングにより情報が漏洩したり被害が生じた場合は、以下の窓口に相談できます。

窓口名	電話番号	受付時間	対応内容
IPA安心相談窓口	03-5978-7509	平日 10:00〜12:00、13:30〜17:00	サイバー犯罪・標的型メール攻撃の相談
警察相談専用電話	#9110	平日 8:30〜17:15（各都道府県で異なる）	サイバー犯罪被害・詐欺の相談
消費者ホットライン	188	地域の窓口に準ずる	悪質商法・トラブル全般

【まとめ】3つのポイント

正体は標的型の精巧なフィッシング：スピアフィッシングは事前調査で本物らしく偽装した攻撃で、警戒心をすり抜けます。
本物らしさ＝信用の証明ではない：知っている情報が含まれていても、メールの経路は信頼できません。
別経路で確認する：予期しない添付・リンクは、電話や別の連絡先で独立して確認しましょう。

よくある質問

Q スピアフィッシングとフィッシングの違いは何ですか？: A

標的の絞り込みと攻撃の精度が違います。一般的なフィッシングは不特定多数に同じメールを大量送信します。スピアフィッシングは特定の個人や組織を狙い、氏名・役職・取引先など事前収集した情報を織り込んで本物らしく偽装します。精度が高い分、受信者が警戒心を持ちにくく、成功率も高くなります。

Q 知っている取引先からのメールでも疑うべきですか？: A

予期しない添付ファイルやリンクが含まれているときは疑ってください。取引先の名前・メールアドレスは偽装できますし、取引先のアカウントが実際に乗っ取られているケースもあります。知っている相手からでも、事前に連絡のない添付ファイルやリンクが届いたら、メールに返信するのではなく電話で直接確認することを習慣にしてください。

Q 添付ファイルを開いてしまいました。どうすれば？: A

すぐにネットワーク接続を切断し、IT部門または専門家に連絡してください。個人の場合はセキュリティソフトでスキャンを実行し、パスワードを全て変更します。その後IPA安心相談窓口（03-5978-7509）に状況を報告してください。マルウェアは開いた直後から情報を送信し始める可能性があるため、速やかな対処が重要です。

Q スピアフィッシングとホエーリングの違いは何ですか？: A

標的の範囲が違います。スピアフィッシングは特定の個人・組織を狙う標的型フィッシング全般を指します。ホエーリングはその中でも、CEO・CFO・役員など経営幹部という大物に絞ったものです。ホエーリングはスピアフィッシングの一種で、標的の権限が高い分、攻撃で引き出せる被害額と情報の価値が大きくなります。