例外的なエグゼクティブのフィッシング攻撃は、企業のセキュリティを侵害する最も効果的で費用対効果の高い方法の1つです。役員はEメールや電話で誘い込まれることがありますが、結果はほとんどいつも同じです。
経営幹部によるフィッシング攻撃は、あらゆる企業にとって大きな心配事である。組織が2016年から2021年までに430億ドル(米ドル)以上の損失を被った主な理由である。2016年から2021年にかけて430億ドル(米ドル)以上の損失が発生した。
この記事では、エグゼクティブ・フィッシングの定義、なぜフィッシングがこのような脅威なのか、そして次の被害者にならないためにはどうすればよいのかについて説明します。
エグゼクティブ・フィッシングとは?
エグゼクティブ・フィッシングは、CEO、CFO、高位幹部など、ハイレベルのエグゼクティブやその他の上級意思決定者をターゲットにしたサイバー犯罪です。フィッシング攻撃では、メッセージが正当なものであるように見せかけるために、エグゼクティブの名前、電子メールの署名、デジタル名刺、その他の詳細が使用されることがよくあります。
2020年 2020CEO詐欺やランサムウェアなどのサイバー犯罪の被害額は41億ドルを超え、報告件数は2019年から2020年にかけて69%増加し、791,000件以上に達した。悲しいことに、こうしたサイバー脅威は減速するどころか、悪化の一途をたどっている。
被害者を騙して、組織内の誰かや他の信頼できる情報源から電子メールを受け取っているかのように思わせるように設計されている。
エグゼクティブ・フィッシング攻撃は通常、組織内の従業員から巧妙に作成された電子メールを使用しますが、組織外の人物からの電子メールも含まれる可能性があります。
Eメールには、議題や今後の契約など、次回のミーティングに関する情報が含まれていることが多い。
攻撃者はまた、機密情報にアクセスできる信頼できる従業員を装って、企業ネットワークに保存されている機密データへのアクセスを試みることもある。
エグゼクティブ・フィッシングは、パスワード、機密文書、ログイン認証情報などの機密データを盗むことを目的としています。攻撃者は、これらの盗まれた認証情報を使用して、企業のリソースにアクセスし、機密情報にアクセスします。
関連記事 フィッシングメールとは?
なぜフィッシング攻撃は幹部を狙うのか?
経営幹部をターゲットにすることで、ハッカーはダークウェブで売られたり、被害者の会社に対する恐喝に使われたりする可能性のある貴重な情報にアクセスすることができる。
Cレベルのエグゼクティブは通常、財務データ、個人を特定できる情報(PII)、その他の機密ビジネス文書などの機密データにアクセスできるため、あらゆる手段を使ってこれらのデータを入手しようとするフィッシング攻撃の格好のターゲットになる可能性がある。
エグゼクティブ・フィッシング攻撃の例
エグゼクティブ・フィッシング・メールの例を以下の画像に見ることができる:
エグゼクティブ・フィッシング攻撃の主な種類
以下は、エグゼクティブ・フィッシング攻撃の主な種類です:
ビジネスメール詐欺(BEC)攻撃
BEC攻撃は、最高経営責任者(CEO)やその他の高官を標的として、彼らの電子メールになりすまして送金を要求する。
BEC攻撃者は、偽の企業ロゴやなりすました送信者アドレスを使って詐欺メールを送り、受信者を騙す。
請求書攻撃
この攻撃は、一見正規の請求書に見えるが、誤りや矛盾が含まれている偽の請求書を作成することで、企業から金銭を盗むことを目的としている。
攻撃者はその後、銀行送金や確認に時間のかかるその他の支払い方法を用いて、これらの請求書に対する支払いを要求する。
ビデオ・コミュニケーション・プラットフォームの悪用
この攻撃では、ハッカーはビデオ通信プラットフォームを悪用して幹部になりすます。例えば、グーグル・ハングアウトを使ってCEOになりすまし、機密情報を要求することができる。
ハッカーはまた、財務部の誰かとビデオ通話で会うことを示すメールを従業員に送ることもある。アプリをダウンロードし、ログイン情報を入力するよう指示する。
ソーシャルエンジニアリング
ソーシャル・エンジニアリングソーシャル・エンジニアリングとは、ユーザーを騙してパスワードや社会保障番号などの機密情報を漏えいさせ、機密情報やデータにアクセスすることです。
攻撃者は多くの場合、組織内のIT部門や他部門の人間のふりをし、通常の商習慣ではアクセスできないコンピューターやネットワーク・リソースへのアクセスを要求します。
エグゼクティブ・フィッシングとホエール・フィッシング
エグゼクティブ・フィッシングもホエーリングも ホエーリングは、いずれもハイレベルな人材を狙ったサイバー攻撃であり、Whalingはより特殊な亜種であることを忘れてはならない。これらの脅威から身を守るためには、適切なサイバーセキュリティ対策と従業員教育が不可欠です。
エグゼクティブ・フィッシングと捕鯨の比較を見てみよう:
アスペクト | エグゼクティブ・フィッシング | 捕鯨 |
ターゲット | エグゼクティブ・フィッシングは、企業内の高位幹部を標的にする。 | ホエーリングは、最高経営責任者や最高財務責任者(CFO)といったトップレベルのエグゼクティブに焦点を当てている。 |
目的 | エグゼクティブ・フィッシングの目的は、不正アクセス、データの窃盗、ログイン認証情報の取得です。 | 捕鯨は、高名な幹部から機密情報や資金を引き出すことを目的としている。 |
攻撃タイプ | エグゼクティブ・フィッシングとは、特にエグゼクティブを騙して行動を起こさせるフィッシング攻撃である。 | Whalingは、最も影響力のある個人をターゲットにした特殊なスピアフィッシングである。 |
なりすまし | エグゼクティブ・フィッシングでは、攻撃者は上級幹部や同僚になりすまして標的を欺く。 | 捕鯨とは、上級管理職になりすまして、その上級管理職の権威を利用することである。 |
準備 | 攻撃者がターゲットの役割、コミュニケーションスタイル、関連情報をリサーチすることは、エグゼクティブ・フィッシングでは一般的です。 | ホワイリングの実行犯は、ターゲットとなる経営幹部や会社の環境について徹底的な調査を行う。 |
メールコンテンツ | エグゼクティブ・フィッシング・メールは、公式な連絡を模倣している。多くの場合、緊急性を演出したり、機密事項を扱ったりする。 | 捕鯨メールには、ターゲットの立場や責任に合わせてカスタマイズされ、パーソナライズされたメッセージが含まれています。 |
ソーシャルエンジニアリング | エグゼクティブ・フィッシングは、パワー・ダイナミクス、緊急性、または好奇心を悪用し、ターゲットが行動を起こすように操作します。 | Whalingは、ターゲットの信頼とコンプライアンスを操作するために、高レベルのアクセスと権限を活用する。 |
ペイロード | エグゼクティブ・フィッシングでは、悪意のあるリンク、添付ファイル、情報の要求が一般的なペイロードとなる。 | 捕鯨ペイロードは機密データ、金融取引、その他の貴重な資産を求めることが多い。 |
インパクト | エグゼクティブ・フィッシングの影響は、アカウントの漏洩やデータ流出から金銭的損失まで多岐にわたる。 | 捕鯨が組織に与える影響は大きく、経済的・風評的ダメージも大きい。 |
対策 | エグゼクティブ・フィッシングへの対策としては、従業員教育、アンチ・フィッシング・ツールの使用、電子メールへの用心などが挙げられる。 | 捕鯨に対する防御には、セキュリティ意識向上トレーニング、高度な脅威検知、強力な認証方法が含まれる。 |
例 | エグゼクティブ・フィッシングの例としては、エグゼクティブに送られる偽の送金要求やデータ共有要求などがある。 | ホエーリングとは、多くの場合、悪意や欺瞞に満ちた要求で、標的を絞った電子メールを経営幹部に送信することである。 |
エグゼクティブ・フィッシング攻撃の防御と対策
以下のセキュリティ対策は、エグゼクティブ・フィッシングから組織を守るのに役立ちます:
DMARCの実装
DMARCにより、組織はドメインがどのように使用されているかを報告することができ、ISPや他のメールプロバイダーがそれらのドメインからの詐欺的なメッセージを見たときに適切な措置を取ることができます。
セキュリティ意識向上トレーニング
セキュリティ意識向上トレーニングは、従業員が問題になる前に潜在的な脅威を特定するのに役立つ。
セキュリティ意識向上トレーニングでは、メールの内容、送信者、件名から不審なメールを見分ける方法を学びます。また、従業員が攻撃の被害に遭わないように、これらのメールを報告する方法も教えます。
多要素認証(MFA)
多要素認証(MFA)は、ユーザーがアクセスする前に、携帯電話に送信されたコード、または物理的なデバイスによって生成されたコードの入力を要求することにより、セキュリティの別のレイヤーを追加します。
メールフィルタリングとフィッシング対策ツール
防御の第一線は、電子メール・フィルタリング・ソフトウェアを使ってフィッシング・メールをフィルタリングすることだ。このソフトウェアでは、どのメールアドレスを疑わしいとみなすかをユーザーが定義し、自動的に拒否することができる。
さらに、なりすましの正当なメールを識別し、悪意のある添付ファイルと同様に自動的に拒否することもできる。
関連記事 アンチスパムとDMARCの違い
定期的なソフトウェア・アップデートとパッチ管理
特にブラウザ、OS、サードパーティ製アプリケーションなど、すべてのソフトウェアが最新であることを確認する。これには、物理マシンと仮想マシンの両方が含まれる。
多くの場合、パッチには、すでにシステムに侵入している攻撃者に悪用される可能性のある脆弱性のセキュリティ修正が含まれている。
最後の言葉
フィッシングの最も一般的な形態ではありませんが、この種の攻撃は依然として個人や企業に悪影響を及ぼす可能性があります。知らない人からメッセージを受け取ったり、すぐに現実とは思えない状況についてメッセージを受け取ったりした場合は、彼らが送ってきたファイルを慌てて開かないようにしましょう。
エグゼクティブ・フィッシングの被害に遭う可能性は十分にあります。
- SPFレコードとDMARCの伝播にかかる時間は?- 2025年2月12日
- 自動ペンテストツールが電子メールとサイバーセキュリティにどのような革命をもたらすか- 2025年2月3日
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日