フィッシングとスピアフィッシングの違い

フィッシングとは、個人情報を盗む目的で行われるサイバー攻撃のことです。

個人情報を盗む目的で作られたメールやウェブサイトを、それぞれフィッシングメール、フィッシングサイトと呼びます。

スピアフィッシングも、個人情報を盗む目的で行われるサイバー攻撃のことですが、フィッシングは不特定多数の人へ行われるのに対し、スピアフィッシングは特定の標的を狙って行われます。

スピアフィッシングは、フィッシングの一種と捉えることができます。

例えば、実在するオンライショップからのメールを装ったフィッシングメールは、不特定多数に送られているため、フィッシングメールの内容には、自分宛てに送られていることが明確にわかる情報が記載されていません。

これでは信憑性が低いため、フィッシングメールに引っかかる可能性が低いです。信憑性を増すためには、オンライショップに登録している氏名や ID 等、個人を特定する情報が必要です。

そこでフィッシングメールの信憑性を高めるために、そのオンライショップを利用して商品を購入したという情報を SNS（ソーシャル・ネットワーキング・サービス）で探し、さらに氏名やメールアドレスを公開しているユーザーを探します。

該当するユーザーを見つけたら、ユーザーのメールアドレス宛に送るメールの内容に氏名を含め、さらには購入した情報について確認事項がある等、オンライショップからの連絡だと信じ込ませる内容を含めれば、引っかかる可能性が高くなります。

これは特定の標的を狙ったフィッシングメール、すなわちスピアフィッシングメールです。

そのスピアフィッシングメールの内容に、オンライショップのウェブサイトを装ったフィッシングサイトのリンクを記載しておき、そのリンクをクリックしてアクセスしてきたユーザーに、オンライショップのログインに必要な情報を入力させれば、その情報を盗むことに成功します。

このように特定の標的を狙って個人情報を盗む目的で行われるサイバー攻撃のことをスピアフィッシングと呼びます。