スピアフィッシング(Spear Phishing)とは、特定の個人・組織を標的として、事前に収集した個人情報や業務情報を織り込んだ、高度にカスタマイズされたフィッシング攻撃です。
この記事でわかること:
- スピアフィッシングとは何か、通常フィッシングとの違い
- 攻撃者の手口・流れ(事前調査から実行まで)
- 日本で実際に観測されているスピアフィッシング事例(JPCERT/CC報告)
- 情シス担当者が押さえるべき対策の方向性
スピアフィッシングとは何か
スピアフィッシングとは、不特定多数を狙う通常のフィッシングと異なり、特定の人物・部署・組織を絞り込んで仕掛ける、ターゲット型の高精度フィッシング攻撃です。名称は「ヤリを使った魚突き(Spear Fishing)」に由来し、罠を流して待つ「釣り(Fishing)」とは対照的に、的を絞って狙い打ちにすることを表しています。
米国国立標準技術研究所(NIST)の用語集では、spear phishingを「高度に標的を絞ったフィッシング攻撃全般を指す通称(a colloquial term that can be used to describe any highly targeted phishing attack)」と定義しています(出典:NIST CSRC Glossary / CNSSI 4009-2015)。
通常フィッシングとの違い
| 比較項目 | フィッシング(一般) | スピアフィッシング |
|---|---|---|
| 標的 | 不特定多数 | 特定の個人・組織・部署 |
| メール内容 | 定型文(テンプレート) | 実名・役職・業務情報を盛り込んだ高精度カスタマイズ |
| 事前調査 | ほぼなし | SNS・公式サイト等で数週間〜数ヶ月かけて実施 |
| 見破りやすさ | 違和感に気づける場合あり | 業務上自然なメールに見え、気づきにくい |
| 目的 | 認証情報・金銭の詐取 | 認証情報窃取・マルウェア感染・APT攻撃の入口 |
| 攻撃者の属性 | 広範な犯罪グループ | 国家支援型APTグループ・高度なサイバー犯罪者 |
攻撃の手口と流れ
スピアフィッシングの特徴は、実行前の「情報収集フェーズ」に多大な時間を費やす点にあります。
フェーズ1:ターゲット調査(OSINT)
攻撃者はLinkedIn・会社ウェブサイト・SNS・プレスリリースなどから、ターゲットの氏名・役職・業務内容・人間関係・取引先情報を収集します。近年は生成AIを使って情報を整理し、より自然な日本語メールを生成するケースも報告されています。
フェーズ2:カスタマイズメールの送信
収集した情報をもとに、取引先・上司・同僚になりすましたメールを送付します。「〇〇部長より確認依頼あり」「先日の会議の資料を添付します」といった、業務上ありそうな文面で警戒心を下げるのが特徴です。
フェーズ3:実行
メールには以下のいずれかが仕込まれています。
- 悪意ある添付ファイル:Wordマクロ・ショートカットファイル・PDFなど。開封するとマルウェアが実行される
- 偽サイトへのリンク:OneDrive・SharePoint等のクラウドサービスを装ったURLで認証情報を詐取する
- 正規クラウドストレージ経由のマルウェア配布:正規のクラウドサービスにマルウェアを置き、URLをメールで送信する手口(セキュリティ製品による検知を回避しやすい)
日本での被害実態:JPCERT/CCが観測した事例
JPCERT/CCが公表している事例では、スピアフィッシングはAPT(Advanced Persistent Threat)攻撃の入口として繰り返し使われています。
- MirrorFace(2024年〜):日本の政府機関・研究機関・企業を標的とした中国系APTグループによるキャンペーン。標的の関心テーマに沿った文書を装ったメールを使用(JPCERT/CC, 2024)。
- APT-C-60(2025年):採用担当者を狙い、就職希望者を装ったスピアフィッシングメールで悪意ある添付ファイルを送付。人事部門という「メール添付への警戒が下がりやすい役割」を狙った点が特徴(JPCERT/CC, 2025)。
- LODEINFO(2019年〜):日本の組織を標的に、悪意あるWordファイルを添付したスピアフィッシングメールを多数送付。感染後にバックドアを設置し長期潜伏(JPCERT/CC, 2020)。
IPA「情報セキュリティ10大脅威 2026」では、「機密情報を狙った標的型攻撃」が組織向け脅威の第5位(11年連続)に選出されており、スピアフィッシングはその主要な初期侵入手段として位置づけられています。
現場目線:なぜスピアフィッシングは防ぎにくいのか
通常のフィッシングであれば「差出人が怪しい」「日本語がおかしい」という違和感で気づける場合があります。しかしスピアフィッシングは違います。実際の取引先名・担当者名・業務内容が盛り込まれ、文面も自然な日本語であれば、たとえ用心深い担当者でも一瞬判断に迷います。
現場でよく聞くのは「メールを開く前に一度立ち止まれるかが全て」という声です。しかし多忙な状況でメールを処理しているとき、「先ほどの件で添付資料をお送りします」という一行メールが届いたら、クリックまでの距離はごく短い。加えて、採用担当・経理担当・経営幹部秘書といった「特定の役割を担う人」は組織の中でも狙われやすく、対策が情シス部門だけで完結しない難しさがあります。
情シスはどうすべきか
スピアフィッシング対策は単一の技術で解決できる問題ではなく、技術・運用・教育の組み合わせが必要です。IPAの情報セキュリティ10大脅威 2026や各種ガイドラインも参照しながら、以下の方向性で対策を検討してください。
- メールセキュリティの強化:SPF・DKIM・DMARCの整備に加え、添付ファイルのサンドボックス解析・URLリライティングを導入する。正規クラウドサービス経由のマルウェア配布にはURLフィルタリングだけでは限界があることも念頭に置く。
- 標的型攻撃メール訓練:一般的なフィッシング訓練に加え、役職・部門情報を盛り込んだスピアフィッシング模擬メールでの訓練を実施する(採用担当・経理・幹部秘書など狙われやすい役職を優先)。
- 多要素認証(MFA)の徹底:認証情報が詐取されても不正ログインを防ぐ最後の防線。フィッシング耐性のある認証(FIDO2/パスキー)への移行も中長期の課題として検討する。
- 侵入後の被害低減(EDR・ログ監視):スピアフィッシングは「完全に防ぐことは困難」という前提で、侵入後の早期発見と被害局限化を並行して整備することが重要。
対策の全体像については、IPAの中小企業の情報セキュリティ対策ガイドラインも参照してください。
関連用語
- フィッシング:不特定多数を標的にした偽メール・偽サイトによる認証情報詐取攻撃。スピアフィッシングの「非標的型版」。当サイト記事「フィッシングとは?仕組み・手口・情シスが取るべき対策」も参照。
- APT(Advanced Persistent Threat):国家支援型の高度な持続的サイバー脅威。スピアフィッシングはAPT攻撃の主要な初期侵入手段。
- ソーシャルエンジニアリング:技術的手段ではなく、人の心理・行動・信頼関係を利用した情報詐取・攻撃手法の総称。スピアフィッシングはその代表的な形態。
- OSINT(Open Source Intelligence):公開情報(SNS・ウェブサイト等)から情報を収集・分析する手法。攻撃者がターゲット調査に使う。
- DMARC:メール送信ドメイン認証技術。自社ドメインを詐称したスピアフィッシングメールの送信を防ぐ効果がある。
まとめ
- スピアフィッシングとは特定個人・組織を狙い打ちにした高度なフィッシング攻撃。事前の情報収集で高精度にカスタマイズされるため、一般的なフィッシングより見破りが格段に難しい。
- 日本ではMirrorFace・APT-C-60・LODEINFOなど国家支援型APTグループがスピアフィッシングを入口に使った攻撃が継続しており、IPA 10大脅威2026でも「標的型攻撃」が5位に選出されている。
- 対策は技術(メールセキュリティ・MFA・EDR)・運用(標的型訓練・ログ監視)・教育(役割別の意識啓発)の組み合わせが不可欠。完全防御は困難という前提で、侵入後の早期発見体制を並行して整備することが重要。
