メインコンテンツにスキップする

ホエーリング攻撃とは

ホエーリング攻撃とは

ホエーリング攻撃とは、サイバー犯罪者が組織の上層部になりすまし、組織の上層部やその他の重要人物を直接標的として、金銭や機密情報の窃取、または犯罪目的でのコンピューターシステムへのアクセスを目的として使用する手法です。CEO詐欺としても知られるホエーリングはメールやWebサイトのなりすましなどの手法を使用し、標的を騙して機密データの開示や金銭の授受などの特定の動作を実行させるという点で、フィッシングと似ています。

フィッシング詐欺の標的は不特定の個人であり、スピアフィッシングの標的は特定の個人です。一方、ホエーリングは後者をより強化した手法です。単に重要な個人を標的とするだけでなく、詐欺的なコミュニケーションを、組織内で特に上位のポジションにいるか、影響力が特に大きい人物から送信されたように見せかけます。なりすましに悪用されるのは、CEOや財務マネージャーなど会社の「大魚(重要人物)」または「クジラ」であると考えてください。これにより、ソーシャルエンジニアリングの要素が新たに加わり、スタッフは重要人物と思われる人からの依頼を断りづらくなります。

この脅威は非常に迫真性があり、件数も常に増大しています。2016年、Snapchatの給与計算部門にホエーリングメールが届きました。そのメールは一見CEOから送信されたかのように偽装されており、従業員の給与情報を尋ねる内容でした。昨年、玩具の大手メーカーであるMattel社がホエーリング攻撃の被害に遭いました。これは、新しいCEOになりすました詐欺師から送金を要求するメールを財務担当のトップが受け取ったことが原因でした。その結果、同社は危うく300万ドルを失うところでした。

ホエーリング攻撃の仕組みと身を守る方法

前述の通り、ホエーリングがスピアフィッシングと異なるのは、詐欺的な連絡が上層部の誰かから発信されたように見える点です。ソーシャルメディアのような一般に公開されているリソースを活用して徹底的なリサーチを実施し、標的個人に特化したアプローチを考案することにより、こうした攻撃の信憑性を高めることができます。

このような攻撃には、上級管理職から送信されたと見せかけたメールが使用される可能性があります。また、たとえば、会社のクリスマスパーティーに関するソーシャルメディアの画像でその人物を見かけた時など、攻撃者がオンラインで拾い集めた情報を参考にすることも考えられます:「やあジョン、スティーブです。先週の木曜日はかなり酔っていましたね!あの赤いシャツについたビールのシミ、なんとか取れたかな?」

さらに、送信者のメールアドレスは通常、信頼できる送信元からのもののように見え、企業のロゴや、正規のリンクに見えるようにデザインされた詐欺的なWebサイトへのリンクが含まれていることさえあります。「クジラ」は組織内における信頼性が高く、アクセス可能な範囲も広範である傾向が高いため、サイバー犯罪者にとっては、こうした人物のなりすましを信じさせるための時間と労力を費やす価値があるのです。

ホエーリング攻撃からの防御は、組織内の重要な人物を教育し、標的にされる可能性について日常的に警戒するよう徹底させることから始まります。主要なスタッフには、上級管理職が普段はしないような連絡、とりわけ、重要な情報や金銭が関連する取引に関わるような連絡を受けた場合には、健全な疑いを持つ姿勢を心がけるように指導しましょう。次のことを常に自問するようにするとよいでしょう:上級管理職が、そのような重要な連絡メールに添付ファイルやリンクを含めることはあり得るでしょうか?そのリクエストには、どこか普段と違う点はないでしょうか?

また、なりすましの(偽の)メールアドレスや名前など、攻撃の兆候を見逃さないようにトレーニングする必要もあります。メールで名前の上にカーソルを置くだけで、そのアドレスが完全な形で表示されます。注意深く見ることで、会社名や書式が通常のメールアドレスと一致するかどうかを見分けることができます。IT部門にもまた、実践すべきことがあります。模擬的なホエーリング攻撃を行い、主要スタッフがどのように対処するかテストしてみることです。

FacebookやX(旧Twitter)、LinkedInなどのソーシャルメディアサイトに情報を投稿し、オンラインで共有する時にも、経営陣は特に注意する必要があります。誕生日、趣味、休暇、役職、昇進、人間関係などの詳細はすべて、サイバー犯罪者がより巧妙な攻撃を仕掛けるために悪用される可能性があります。

なりすましメールによる危険を低減するのに最適な方法の1つは、ネットワーク外から送信されるメールに自動的にフラグを立てて確認するよう、IT部門に義務付けることです。ホエーリングは多くの場合、サイバー犯罪者が主要な担当者を騙して、標的の組織内部からのメッセージであると信じ込ませることによって成立しています。社外からのメールにフラグを付けることで、表面上は正当なメールに見える偽装メールも、トレーニングを受けていないスタッフでも簡単に見つけることができるようになります。

URLスクリーニングやリンク検証などのサービスを提供する、専門のフィッシング対策ソフトウェアの導入もお勧めします。また、機密情報や多額の資金を扱う時には、もう一段レベルが高い検証の追加を検討することも、賢明な対処方法です。たとえば、重要な業務や機密性の高い業務に従事する際は、単に電子的な手続きを実行するのではなく、対面でのミーティングや電話による確認が最適かもしれません。

また、インターネット詐欺の防止に際しては、1人より2人で対策を講じる方がよいでしょう。決済の承認は1人ではなく2人で行うように、社内の手続きを変更することを検討してください。こうすることで、疑念を投げかけるための第二の視点を1人の人間に与えるだけではなく、リクエストを拒否されて気分を害した上級管理者から非難され、処罰の対象にされるかもしれないという不安も取り除くことができます。というのも、恐怖は攻撃者が頼りにしている重要なソーシャルエンジニアリングの手口だからです。

ホエーリング攻撃とは

ホエーリング攻撃とは、サイバー犯罪者が組織の上層部になりすまし、組織の上層部やその他の重要人物を直接標的として、金銭や機密情報の窃取、または犯罪目的でのコンピューターシステムへのアクセスを目的として使用する手法です。
Kaspersky logo