例外的なエグゼクティブのフィッシング攻撃は、企業のセキュリティを侵害する最も効果的で費用対効果の高い方法の1つです。役員はEメールや電話で誘い込まれることがありますが、結果はほとんどいつも同じです。
経営幹部によるフィッシング攻撃は、あらゆる企業にとって大きな心配事である。組織が2016年から2021年にかけて2016年から2021年までに430億ドル(米ドル)以上の損失が発生した。特定のCEO詐欺がこれらの損失に大きく貢献し、FBIが毎年数十億ドル規模の問題となっている。
この記事では、エグゼクティブ・フィッシングの定義、なぜフィッシングがこのような脅威なのか、そして次の被害者にならないためにはどうすればよいのかについて説明します。
主なポイント
- CEO詐欺を含むエグゼクティブフィッシングは、信頼できる情報源になりすましてデータを盗んだり、不正な送金を開始したりすることで、シニアリーダーを標的にします。
- 一般的な手口には、ビジネスメール詐欺(BEC)、偽の請求書、ソーシャルエンジニアリングなどがあり、緊急性を演出したり、信頼を悪用したりすることが多い。
- 警戒心が重要である:通常とは異なる要求、稚拙な文法、奇妙な送信者の詳細がないかメールを精査し、疑わしいメッセージは別のルートで確認する。
- DMARC/SPF/DKIMメール認証、多要素認証(MFA)、高度なメールフィルタリングなどの技術的防御は不可欠です。
- セキュリティ・トレーニング、厳格な財務プロトコル、定期的な監査、インシデント対応計画などの組織的対策は、重要な保護レイヤーを提供する。
エグゼクティブ・フィッシングとは?
エグゼクティブ・フィッシングとは、CEO、CFO、高位幹部など、ハイレベルのエグゼクティブやその他の上級意思決定者をターゲットにしたサイバー犯罪です。最高経営責任者になりすますこの詐欺行為は、特にCEOフィッシングと呼ばれることもあり、サイバー犯罪者がこれらのリーダーになりすまし、従業員や経営責任者自身を欺きます。フィッシング攻撃では、メッセージが正当なものであるように見せるために、経営者の名前、電子メールの署名、デジタル名刺、書き方、その他の詳細が使用されることがよくあります。
2020年 2020CEO詐欺やランサムウェアなどのサイバー犯罪の被害額は41億ドルを超え、報告件数は2019年から2020年にかけて69%増加し、791,000件以上に達した。CEOフィッシングを含むBEC(Business Email Compromise)詐欺は、2018年から2019年の間だけでほぼ倍増したという報告もある。悲しいことに、こうしたサイバー脅威の勢いは衰えるどころか、悪化の一途をたどっており、世界中の企業に影響を及ぼしている。
被害者を騙して、組織内の誰かや他の信頼できる情報源から電子メールを受け取っていると思わせるように設計されており、信頼と企業の階層的性質を悪用している。
エグゼクティブ・フィッシング攻撃は通常、組織内の従業員から巧妙に作成された電子メールを使用しますが、組織外の人物からの電子メールも含まれる可能性があります。
Eメールには、議題や今後の契約など、今後の会議に関する情報が含まれていたり、電信送金や機密データの共有など、緊急の行動を要求したりすることが多い。
攻撃者はまた、機密情報にアクセスできる信頼できる従業員を装って、企業ネットワークに保存されている機密データへのアクセスを試みることもある。
エグゼクティブ・フィッシングは、パスワード、機密文書、ログイン認証情報などの機密データを盗んだり、従業員を欺いて資金を送金させたり、システムへのアクセスを提供させたりすることを目的としています。攻撃者はその後、悪意のある目的のためにこれらの盗まれた認証情報または得られたアクセスを使用します。
関連記事 フィッシングメールとは?
PowerDMARCでエグゼクティブ・フィッシングを防ぐ!
なぜフィッシング攻撃は幹部を狙うのか?
経営幹部を標的にすることで、ハッカーはダークウェブで販売されたり、被害者の会社に対する脅迫として使用されたりする可能性のある貴重な情報にアクセスすることができます。このような攻撃は、多くの場合、幹部の地位に関連する権限と信頼を利用して、従業員を操り、資金を送金したり、認証情報を開示したりするなど、他の方法では行わないような行動を取らせます。
Cレベルのエグゼクティブは通常、財務データ、個人を特定できる情報(PII)、その他の機密ビジネス文書などの機密データにアクセスできるため、あらゆる手段を使ってこれらのデータを取得しようとするフィッシング攻撃の格好のターゲットになり得ます。さらに、彼らのアカウントが侵害された場合、他の従業員やパートナーに対して非常に説得力のある攻撃を仕掛けるために使用される可能性があります。エグゼクティブのフィッシング攻撃が成功した場合の潜在的な影響は、多額の金銭的損失、組織の評判へのダメージ、法的影響、業務の混乱、データ漏洩、関係する従業員の多大なストレスなど、深刻なものです。
エグゼクティブ・フィッシング攻撃の例
エグゼクティブ・フィッシング・メールの例を以下の画像に見ることができる:
エグゼクティブ・フィッシング攻撃の主な種類
以下は、エグゼクティブ・フィッシング攻撃の主な種類です:
ビジネスメール詐欺(BEC)攻撃
BEC攻撃は、最高経営責任者(CEO)やその他の高官をターゲットに、彼らの電子メールになりすまし、送金や機密情報を要求する(この具体的なケースではCEO詐欺と呼ばれることが多い)。
BEC攻撃者は、偽の企業ロゴとなりすました送信者アドレスで詐欺メールを送信し、時には経営者の文体を模倣することで、受信者を騙して本物だと信じ込ませ、不正な要求に従わせる。
関連記事 中小企業のためのBEC防御の基本戦略
請求書攻撃
この攻撃は、一見正規の請求書に見えるが、誤りや矛盾を含む偽の請求書を作成し、多くの場合、攻撃者が管理する口座に支払いを誘導することで、企業から金銭を盗むことを目的としている。
攻撃者はその後、銀行振り込みや確認に時間のかかるその他の支払い方法を使い、時には既知のベンダーや支払いを承認する役員になりすまして、これらの請求書の支払いを要求する。
ビデオ・コミュニケーション・プラットフォームの悪用
この攻撃では、ハッカーはビデオ通信プラットフォームを悪用して幹部になりすます。例えば、グーグル・ハングアウトや同様のツールを使ってCEOになりすまし、偽の会議中やチャットで機密情報を要求することができる。
ハッカーはまた、財務担当者とビデオ通話で会うことを示すメールを従業員に送ることもある。ハッカーは従業員に対し、悪意のあるアプリをダウンロードし、ログイン情報を入力するよう指示する。
ソーシャルエンジニアリング
ソーシャル・エンジニアリングソーシャルエンジニアリングとは、ユーザーを騙してパスワードや社会保障番号を漏らさせたり、支払いを承認させたり、その他の機密性の高い行為をさせたりすることで、機密情報やデータにアクセスする、これらの攻撃の中核となる手口です。
攻撃者は多くの場合、IT部門、上級管理職、または組織内の他部門の人間のふりをし、コンピュータやネットワークリソースへのアクセスを要求したり、通常のビジネス慣習ではそのような要求が正当化されないにもかかわらず緊急の対応を要求したりして、信頼、階層、緊急性を悪用します。
エグゼクティブ・フィッシングとホエール・フィッシング
エグゼクティブ・フィッシングもホエーリングも ホエーリングエグゼクティブフィッシングとホエーリングは、どちらもハイレベルな人物を狙ったサイバー攻撃であり、ホエーリングはより専門的な亜種で、絶対的に地位の高い人物(「最大の魚」)を狙った攻撃と同義語であることが多い。どちらもスピアフィッシングの一種であり、高度に標的が絞られ、個別化されていることを意味します。このような脅威から身を守るためには、適切なサイバーセキュリティ対策と従業員教育が不可欠です。
エグゼクティブ・フィッシングと捕鯨の比較を見てみよう:
アスペクト | エグゼクティブ・フィッシング | 捕鯨 |
ターゲット | エグゼクティブ・フィッシングは、企業内の高位幹部を標的にする。 | Whalingは、CEOやCFOといった超トップレベルの経営幹部(「クジラ」)に焦点を当てている。 |
目的 | エグゼクティブ・フィッシングは、不正アクセス、データの窃盗、ログイン認証情報の取得、不正取引の開始を目的としています。 | ホエーリングは、著名な幹部を危険にさらすか、なりすますことによって、非常に機密性の高い情報や多額の資金を引き出すことを目的としている。 |
攻撃タイプ | エグゼクティブフィッシングとは、スピアフィッシングの一種で、特にエグゼクティブを騙ったり、エグゼクティブのペルソナを利用して他の人を騙したりするものです。 | Whalingはスピアフィッシングの高度に専門化した形態で、最も影響力のある個人(「クジラ」)をターゲットにしている。 |
なりすまし | エグゼクティブ・フィッシングでは、攻撃者は上級幹部や同僚になりすまして標的を欺く。 | ホエーリングとは、最高幹部になりすまし、その高位の権威と信頼を利用することである。 |
準備 | 攻撃者がターゲットの役割、コミュニケーションスタイル、関連情報をリサーチすることは、エグゼクティブ・フィッシングでは一般的です。 | ホエーリング犯は、ターゲットとなる幹部、その責任、人間関係、社内環境などを徹底的に調査する。 |
メールコンテンツ | エグゼクティブのフィッシングメールは、公式のコミュニケーションを模倣しています。多くの場合、緊急性を演出したり、エグゼクティブの役割に関連する機密事項を扱ったりします。 | 捕鯨メールには、ターゲットの立場、責任、現在の状況に合わせて特別にカスタマイズされ、パーソナライズされたメッセージが含まれています。 |
ソーシャルエンジニアリング | エグゼクティブ・フィッシングは、パワー・ダイナミクス、緊急性、または好奇心を悪用し、ターゲットが行動を起こすように操作します。 | ホエーリングは、なりすました経営陣のハイレベルなアクセスと権威を利用して、ターゲットの信頼とコンプライアンスを操作する。 |
ペイロード | エグゼクティブ・フィッシングでは、悪意のあるリンク、添付ファイル、情報や金融取引の要求が一般的なペイロードとなる。 | 捕鯨ペイロードは、極秘のデータ、大規模な金融取引、その他最高レベルでなければアクセスできない貴重な資産を求めることが多い。 |
インパクト | エグゼクティブ・フィッシングの影響は、アカウントの漏洩やデータ漏洩から、多額の金銭的損失や風評被害まで多岐にわたります。 | 捕鯨が組織に与える影響は極めて大きく、多額の財務的損失、深刻な風評被害、潜在的な規制上の影響につながる可能性がある。 |
対策 | エグゼクティブ・フィッシングへの対策としては、従業員教育、アンチ・フィッシング・ツールの使用、強固な認証、用心深い電子メールの実践などが挙げられる。 | 捕鯨に対する防御には、強固なセキュリティ認識トレーニング(特に経営幹部向け)、高度な脅威検知、強力な認証方法、厳格な検証プロトコルが必要である。 |
例 | エグゼクティブ・フィッシングの例としては、エグゼクティブに送られた、あるいはエグゼクティブから送られたと思われる、偽の送金やデータ共有の要求がある。 | ホエーリングは、しばしば説得力のある、文脈に特化した悪意ある意図や、同業者や重要な外部組織からの依頼であるかのように見せかけた詐欺的な依頼を含む、高度に標的化された電子メールをトップレベルの経営幹部に送信する。 |
エグゼクティブ・フィッシング攻撃の防御と対策
以下のセキュリティ対策は、エグゼクティブ・フィッシングから組織を守るのに役立ちます:
DMARC、SPF、DKIMの実装
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)とともに、重要な電子メール認証プロトコルである。SPFは認可されたメールサーバーを指定し、DKIMは電子メールの完全性を検証するためにデジタル署名を追加し、DMARCはこれらのチェックに失敗した電子メールを処理するポリシーを提供する。これらを導入することで、なりすましメールのリスクを大幅に軽減することができます。
セキュリティ意識向上トレーニング
セキュリティ意識向上トレーニングは、従業員が問題になる前に潜在的な脅威を特定するのに役立つ。このトレーニングは定期的に実施し、特定の役割、特に標的となりやすい経営幹部や財務担当者に合わせて実施する必要がある。
セキュリティ意識向上トレーニングでは、不審なメールの内容(例:異常な要求、緊急性、文法やスペルの不備)、送信者の詳細(例:少し変更された電子メールアドレス)、およびコンテキスト(例:通常の手順外の要求、予期しない通信方法や時間)に基づいて、不審なメールを識別する方法を従業員に教えます。また、これらの電子メールを安全に報告する方法と、行動する前に信頼できる別の通信チャネルを通じて要求を確認することの重要性を従業員に教えます。
多要素認証(MFA)
多要素認証(MFA)は、ユーザーがアカウントやシステムにアクセスする前に、携帯電話に送信されたコード、アプリで生成されたコード、または物理的なセキュリティキーの入力を要求することで、パスワードだけでなく、もう1つのセキュリティレイヤーを追加します。すべての重要なアカウントにMFAを導入することで、たとえ認証情報を盗まれても、攻撃者の妨げになることが大幅に減る。
メールフィルタリングとフィッシング対策ツール
防御の第一線は、高度な電子メール・フィルタリング・ソリューションとアンチ・フィッシング・ツールを使用することである。このソフトウェアは、様々なテクニックを駆使し、従業員の受信トレイに届く前に不審なメールを特定し、ブロックしたりフラグを立てたりする。
これらのツールは、送信者のレピュテーション、電子メールのコンテンツ、リンク、添付ファイル、およびヘッダー情報を分析し、既知のフィッシングの指標、なりすましの試み、および潜在的なマルウェアを検出します。
関連記事 アンチスパムとDMARCの違い
定期的なソフトウェア・アップデートとパッチ管理
オペレーティングシステム、ブラウザ、電子メールクライアント、サードパーティアプリケーションを含むすべてのソフトウェアが、最新のセキュリティパッチで最新状態に保たれていることを確認する。これには、物理マシンと仮想マシンの両方が含まれる。
多くの場合、パッチには、フィッシングメールで配信される悪意のあるリンクや添付ファイルを通じて攻撃者に悪用される可能性のある脆弱性のセキュリティ修正が含まれている。
厳格な財務プロトコル
すべての金融取引、特に電信送金や支払明細の変更について、明確で厳格なプロトコルを確立し、実施する。これには、多額の送金や通常とは異なる要求については、送金元の年功序列に関係なく、複数人による承認を義務付けることが含まれる。
リクエストの検証
従業員が権限を与えられていると感じ、たとえトップからの要請であったとしても、行動を起こす前に、信頼できる別のコミュニケーション・チャネル(例えば、既知の番号への電話、直接の会話)を通じて、通常とは異なる、または機密性の高い要請(特に財務またはデータ関連のもの)を確認することが求められる文化を育成する。
サイバーセキュリティ方針の策定
安全な電子メールの使用方法、データの取り扱い、パスワード管理、インシデント報告、通信プ ラットフォームの使用に関する包括的なサイバーセキュリティポリシーを導入する。これらのポリシーが明確に伝達され、定期的に見直されるようにする。
定期的なセキュリティ監査
定期的なセキュリティ監査を実施し、既存の防御策の有効性を評価し、システムとプロセスにおける潜在的な脆弱性を特定し、セキュリティポリシーの遵守を確認する。
インシデント対応計画の策定
フィッシングやBECのシナリオに特化した、明確なインシデント対応計画を立てる。この計画では、封じ込め、調査、根絶、復旧、インシデント発生後の分析などのステップを概説し、被害を最小限に抑えるための迅速かつ組織的な対応を確保する。
明確なコミュニケーション・プロトコル
機密情報や金銭的な要求が組織内でどのように伝達され、承認されるべきかについて、明確なプロトコルを定義する。従業員にこれらの手順を理解させ、手順から逸脱した要請は赤信号であると認識させる。
最後の言葉
フィッシング全体で最も一般的な形態ではありませんが、CEO詐欺のようなエグゼクティブ・フィッシング攻撃は非常に標的が絞られており、個人や企業に不釣り合いな悪影響を及ぼす可能性があります。見知らぬ人物からのメッセージや、通常とは異なる、あるいは緊急性の高そうな要求、すぐに現実とは思えない状況についての連絡を受け取った場合は、焦ってリンクをクリックしたり、ファイルを開いたり、指示に従ったりしないようにしましょう。
エグゼクティブ・フィッシング攻撃の標的になる可能性は十分にあります。警戒を怠らず、強固な技術的防御策を導入し、明確な手順に支えられたセキュリティ意識の高い企業文化を醸成することで、被害に遭うリスクを大幅に減らすことができます。私たちのヒントを参考に、ご自身と組織を守ってください。
- ベンダーメール詐欺(VEC):信頼できるベンダーからの攻撃を阻止する方法- 2025年7月3日
- 顧客の受信箱に届かないマーケティング・メール- 2025年7月2日
- DMARC MSP ケーススタディ:S-ITがPowerDMARCで電子メール認証管理を自動化した方法- 2025年6月29日