ホエーリングとは、組織の経営幹部や役員など、高い役職に就いている人物を狙う、特殊なフィッシング攻撃です。
目次
ホエーリングフィッシング
「ホエーリング」という用語は、この攻撃のターゲットが、組織の中でも「重要人物」、つまり高い権限や機密情報へのアクセス権を持つ人物であることを示しています。不特定多数を狙い大量のメールを送りつける従来のフィッシング攻撃とは異なり、ホエーリングはターゲットを絞り込み、被害者に関する詳細な情報を利用して、巧妙にパーソナライズされたメールを作成します。
ホエーリング攻撃の仕組み
経営幹部などの重要人物は、貴重な情報や資金、意思決定権へのアクセス権を持っているため、サイバー犯罪者にとって魅力的なターゲットとなります。幹部のメールアカウントを侵害することで、攻撃者は不正な取引を承認させたり、機密データにアクセスしたり、組織のプロセスを操作したりすることが可能になります。
ホエーリング攻撃は、綿密に計画・実行され、いくつかの重要な段階を経て進められます。
調査段階
攻撃者はこの段階で、ターゲットに関する広範な情報を収集します。これには、役割や責任、個人的な関心、仕事上の人間関係などの詳細が含まれます。攻撃者は、ソーシャルメディアのプロフィールや組織のWebサイト、プレスリリース、その他の公開データなどを参考に、攻撃計画を立てます。
攻撃の実行
攻撃者は、得た詳細な知識を武器に、高度にパーソナライズされた説得力のあるメールを作成します。これらのメールは、信頼できるビジネスパートナーや同僚になりすまし、迅速な対応を要する緊急の依頼を装うことがよくあります。職場以外で個人的に知っている人物になりすます場合もあります。一般的な手口は以下の通りです。
- なりすまし:信頼できる個人や団体になりすまし、ターゲットの信頼を得ようとします。
- 緊急性:徹底的な確認をさせないよう、緊急性を煽ってすぐに行動を起こさせようとします。
- 権威:なりすましの対象となる人物の権威を利用し、指示に従わせようとします。
実行
攻撃者はホエーリングメールを作成し、ターゲットに送信します。ターゲットがこの攻撃にだまされると、機密情報の流出や不正な取引の承認、システムを侵害する悪意のある添付ファイルのダウンロードなど、甚大な被害が発生する可能性があります。
ホエーリングと他のフィッシング攻撃の違い
フィッシング攻撃にはさまざまな形態がありますが、ホエーリング攻撃は、より高度で複雑なのが特徴です。
従来型フィッシング
従来型フィッシング攻撃は、不特定多数の個人を狙い、一般的な内容のメールを大量に送りつけます。受信者のごく一部が被害にあうことを期待し、メールの量に頼る手法です。
スピアフィッシング
スピアフィッシングは従来のフィッシングよりもターゲットを絞った攻撃ですが、ホエーリングのような詳細なパーソナライズは行いません。特定の個人やグループを対象とし、公開情報に基づいてある程度カスタマイズされることがよくあります。
ホエーリング
ホエーリングは、ターゲットの役割、責任、個人的な関心に関する詳細な情報を活用することで、さらにパーソナライズされた攻撃です。メールは本物に見えるように巧妙に作成されており、高度なソーシャルエンジニアリングの手法を使ってターゲットを騙そうとします。
ホエーリングでよく使われる手口
ホエーリングの攻撃者は、ターゲットをだますためにさまざまな手口を用います。
- ソーシャルエンジニアリング:信頼、権威、緊急性といった心理的な弱点を利用して、ターゲットを操ろうとします。多くの場合、信頼できる同僚やビジネスパートナー、または職場以外の人物になりすましてターゲットを騙します。
- なりすまし:経営幹部などの重要人物を狙う攻撃では、被害者と親しい人物のメールアカウントを事前に乗っ取る場合が稀にあります。その後、信頼できる人物の実際のメールアドレスを使ってホエーリング攻撃が行われます。
- メールスプーフィング:送信元アドレスを偽装し、メールが正規の送信元から送られたように見せかける手法です。これは、メールの信ぴょう性をターゲットに信じさせるために非常に重要な手口です。
- 悪意のある添付ファイルとリンク:ホエーリングメールには、悪意のある添付ファイルやリンクが含まれている場合があります。これらをアクセスすると、ターゲットのデバイスに不正プログラムがダウンロードされたり、アカウント情報を盗むための詐欺サイトに誘導されたりする可能性があります。
ホエーリング攻撃への対策とベストプラクティス
組織は、ホエーリング攻撃から身を守るために、いくつかの対策を講じることが可能です。
- セキュリティトレーニングと意識向上:経営幹部や従業員を対象に定期的なトレーニングを実施し、ホエーリング攻撃に対する意識を高め、対処法を学ぶ機会を提供しましょう。
- メール認証技術の活用:DMARC(Domain-based Message Authentication, Reporting and Conformance)などのメール認証技術を導入することで、メールのなりすましを防止し、送信元が正当な送信者であることを検証・保証できます。
- 検証手順:金融取引やデータ共有といった機密性の高いリクエストに対して、厳格な検証手順を設けることで、不正行為を防止できます。例えば、送金の際に口頭での確認を求めることで、セキュリティはさらに強化されます。
- 検知および対応戦略:ホエーリング攻撃の影響を軽減するには、効果的な検知および対応戦略が不可欠です。
- 高度なメールフィルターシステム:高度なメールフィルターシステムを導入することで、不審なメールがターゲットの受信トレイに届く前に特定し、ブロックできます。
- 不審なアクティビティの監視:予期せぬ金融取引やデータアクセスといった異常なアクティビティを定期的に監視することで、潜在的なホエーリング攻撃を早期に検知できます。
- インシデント対応計画:堅牢なインシデント対応計画を整備することで、万が一ホエーリング攻撃が成功した場合でも、迅速かつ効果的に対応し、被害と復旧時間を最小限に抑えることができます。
組織へのホエーリング攻撃の影響
ホエーリング攻撃は、組織に深刻な影響をもたらす可能性があります。具体的には、以下のような影響が考えられます。
- 金銭的損失:ホエーリング攻撃が成功すると、不正な取引や機密情報の盗み取るにより、多大な金銭的損失が発生する可能性があります。
- 風評被害:機密データの流出や機密情報の不適切な取り扱いは、組織の評判を失墜させ、顧客の信頼を損なう可能性があります。
- 規制当局による罰金:ホエーリング攻撃によって機密データが流出した場合、組織は規制当局による罰金や法的措置に直面する可能性があります。
ホエーリング攻撃の今後の動向
サイバー脅威が進化し続けるのと同様に、ホエーリング攻撃も進化しています。新たなトレンドとして、以下が挙げられます。
- 人工知能の活用:攻撃者は人工知能(AI)をますます活用し、より説得力があり、パーソナライズされたメールを作成しています。これにより、ターゲットは正規のメールとの区別が困難になっています。
- 新たなデジタルプラットフォームへの攻撃:デジタルコミュニケーションプラットフォームが職場や家庭で普及するにつれ、攻撃者はメールだけでなく、SlackやMicrosoft Teams、ソーシャルメディアといったプラットフォーム上で経営幹部を標的にしています。
- 適応型セキュリティ対策:組織は、進化する脅威に先手を打つために、適応型セキュリティ対策を導入する必要があります。これには、AIを活用したセキュリティソリューションの活用や、セキュリティプロトコルの継続的な更新が含まれます。
ホエーリングに関するサポートはどこで受けられますか?
強力なサイバーセキュリティ戦略において、セキュリティ意識向上とトレーニングは不可欠です。しかし、脅威環境が急速に進化する中で、IT管理者やセキュリティチームには、完全な可視性と統合機能を提供するメールセキュリティソリューションが求められます。当社のTrend Vision One™ Email and Collaboration Securityは、AIを活用したTrend Vision One™ Cyber Risk Exposure Management (CREM)ソリューションを通じて、セキュリティ意識向上を支援します。このソリューションは、相関分析に基づいた検知機能を提供し、従業員の的確な判断を助け、高度なフィッシング攻撃から効果的に組織を保護します。