捕鯨攻撃と同義 CEO詐欺サイバー犯罪者が企業を欺くために用いる一般的な手口である。Whaling攻撃では、攻撃者は、上級幹部や高官など、組織内で権威主義的または意思決定的な立場にある個人を標的にします。これは、フィッシングやスピアフィッシングの強力で高度な標的型攻撃です。 スピアフィッシングこれは、高価値ターゲット(HVT)を騙して、企業情報や認証情報を提供させたり、悪意のあるリンクをクリックさせたり、悪意のあるファイルを開かせたり、電信送金を開始させたりするように設計された、強力で高度な標的型のフィッシングまたはスピアフィッシング攻撃です。その目的は、機密データを盗んだり、重要なシステム(財務情報など)にアクセスしたり、漏洩した認証情報を悪意のある活動に利用したりすることです。フィッシング攻撃は依然として大きな脅威です; CISCOの調査によると、86%の企業での企業が、少なくとも1人の従業員がフィッシング詐欺に引っかかっている。 アンチ・フィッシング・ワーキング・グループ(APWG)は、2022年第1四半期だけで100万件以上のユニークなフィッシング攻撃を記録している。
主なポイント
- ホエーリング攻撃は、企業の機密データやシステムにアクセスするために、高度なリサーチを使って高位の幹部をターゲットにする。
- Whalingが通常のフィッシングと異なる点は、その特定のターゲット、より高度な、潜在的により壊滅的な結果(金銭的、風評的)であることです。
- 効果的な防御には、メール認証(p=rejectのDMARC)、セキュリティのベストプラクティス(2FA、アップデート)、従業員の意識トレーニングを組み合わせた多層的なアプローチが必要です。
- 攻撃者は多くの場合、ソーシャルメディアや公開情報を使ってターゲットを調査し、説得力のあるパーソナライズされた捕鯨メールを作成する。
- DMARC、SPF、DKIMを実装することは、ホエーリング攻撃におけるドメイン偽装をブロックし、脅威を監視するために非常に重要である。
捕鯨攻撃はどのように行われるのですか?
ホワイリングがどのように行われるかを理解するために、まずホワイリング攻撃、フィッシング、スピアフィッシングの違いを把握しておこう。
通常のフィッシングとは?
ソーシャル・エンジニアリングソーシャル・エンジニアリング、または通常のフィッシングは、個人を騙してログイン認証情報や財務情報などの機密情報を開示させるものです。攻撃者は多くの場合、銀行や政府機関などの信頼できるエンティティになりすまし、情報を要求する電子メールやメッセージ、または偽のウェブサイトへのリンクを送信します。通常のフィッシング攻撃は、ごく一部の人が騙されることを期待して、多くの人々に送信されます。
捕鯨 vs フィッシング
- ターゲティング:通常のフィッシング攻撃は、特定の高位の個人をターゲットにするのではなく、幅広い対象者に向けて広く網を張ります。クジラ攻撃は、特に上級幹部や高官(「クジラ」または「大物」)をターゲットにします。
- 巧妙さ:通常のフィッシング攻撃は単純であることが多い。ターゲットの役割、責任、習慣などを入念に調査した上で、公式のロゴや言葉、一見正当なメールアドレスを使用することが多い。
- 狙われる情報通常のフィッシングは、ログイン認証や個人の財務情報を求めることが多い。Whalingは、企業秘密、機密文書、会社の財務口座やシステムへのアクセスなど、企業にとって価値の高い機密情報を狙います。
- 手口:通常のフィッシングは、一般的な脅しの手口を使うことがある。正規のウェブサイトをミラーリングした偽のウェブサイトを作成したり、ビジネスに関する緊急性を偽ったりするなど、より手の込んだ手口を使うこともある。
- 影響どのようなフィッシングも損害を与える可能性がありますが、ホエーリング攻撃が成功した場合、高レベルのアクセスや機密データが含まれるため、より壊滅的な打撃を受けることが多く、多額の金銭的損失や風評被害を引き起こす可能性があります。ホエーリング攻撃は、既存の個人の信頼性と権威を利用して被害者を欺くため、2倍成功し危険です。
- 攻撃方法:どちらも電子メールを使うことが多いが、捕鯨には標的を絞った電話やその他の通信手段も使われることがある。
捕鯨とスピアフィッシング
- また、スピアフィッシング攻撃は、組織内の特定の人物やグループに狙いを定め、不正なキャンペーンを展開する高度な標的型フィッシング攻撃です。
- ホエール・フィッシングは、一般的なスピア・フィッシングとは異なり、企業の最高幹部(「ホエール」)だけを主要なターゲットとして選び出す。
ホエーリングでは、攻撃者は上級役員に上司、CEO、CFOを装ってフィッシング・メールを送信するか、時には役員になりすまして下級社員を標的にする。このメールは、会社の資金を振り込ませるか、攻撃者が組織のシステムにアクセスするための会社の認証情報を要求する。
捕鯨攻撃の定義
Whaling(捕鯨)」という言葉は、CEOやCFOのような会社幹部や大物を意味する言葉として使われている。これらの人物は会社で高い地位にあるため、他の誰よりも機密情報にアクセスできる。そのため、彼らになりすましたり、彼らを騙したりすることは、企業のビジネスや評判に悪影響を及ぼし、潜在的な金銭的損失、データ漏洩、生産性の低下、さらには法的な影響につながる可能性があります。
捕鯨攻撃の事例
上に示した例では、財務チームのマネージャーであるジョンが、組織のCEOであるハリーから緊急の電信送金を開始するよう依頼する電子メールを受け取った。この場合、ジョンが別のチャネルを通じてその要求を確認するか、フィッシングの兆候に気づかなければ、彼は自分がアクセスできる資金を送金してしまうことになり、それによってホエーリング攻撃の餌食になってしまう。
ホエールアタックを阻止する方法:組織とデータの保護
このような攻撃をソーシャル・エンジニアリング戦術としてさらに効果的にするために、攻撃者はしばしば入念かつ詳細に下調べを行う。彼らは、フェイスブック、ツイッター、リンクトインなどのソーシャル・メディア・プラットフォームや企業のウェブサイトから収集した一般に入手可能な情報を活用し、経営者の日常生活、活動、責任、仕事上の関係を把握する。これにより、彼らは信用できる合法的な人物に見せかけ、被害者を簡単に騙すことができるのだ。
捕鯨攻撃を止める方法はあるのか?はい、あります!以下に、フィッシング、スプーフィング、ホエーリング、その他のソーシャル・エンジニアリング攻撃に対抗するための、プロアクティブな対策を紹介します。多層的なアプローチがベストです:
- 電子メール認証プロトコル:
- Sender Policy Framework(SPF)は、正当な送信元を認証するのに役立ちます。複数のドメインやサードパーティを利用してメールを送信している場合、SPFレコードを利用することで、送信元を特定することができます。
- DomainKeys Identified MailまたはDKIMは、暗号署名を使用する電子メール認証プロトコルであり、メッセージの送信過程を通じて、メッセージが変更されていないことを保証するのに役立ちます。
- そして最後に、 DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFやDKIMの識別子を整列させ、メール受信サーバーに対して、あなたのドメインから送信された偽のホエーリング・メッセージをどのように扱うか(例えば、拒否する)を指定するのに役立ちます。p=reject`に設定されたDMARCポリシーは、ホエーリングで使用される直接ドメインのスプーフィングに効果的に対抗することができます。チェックに失敗したメールを拒否したり、送信メールに認証を要求したり、なりすましメールの配信を停止したりすることができます。
- DMARCレポート:ポリシーモードを実施した後、DMARC集計フォレンジックレポートをオンにしてください。 DMARC集計およびフォレンジックレポートを有効にすることで、メールソースを監視し、配信可能性を把握し、ドメインに対する攻撃の試みを迅速に検出することができます。DMARCアナライザツールは、これらのレポートを管理し、ポリシーを安全にアップグレードするのに役立ちます。
- 従業員の教育と訓練:従業員、特に上級管理職や財務チームには、ホワイリングのリスクを認識させ、不審な電子メールを認識し、別個の通信チャネルを通じて要求(特に財務的なもの)を確認し、不明なリンクをクリックしたり、予期しない添付ファイルを開いたりすることを避けるよう訓練させる。定期的なサイバー認識トレーニングは極めて重要である。
- 強力な認証:特に電子メールや機密性の高いシステムへのアクセスには、可能な限り二要素認証(2FA)または多要素認証(MFA)を導入する。
- パスワードのセキュリティ:すべてのアカウントに強固で一意なパスワードのポリシーを適用する。
- メールフィルタリングとセキュリティソフトウェア:堅牢な電子メールフィルタリングソリューションを使用して、疑わしい電子メールをブロックしたり、レビューのためにフラグを立てる。アンチウイルスやファイアウォールなどのエンドポイントセキュリティを使用する。
- 定期的なソフトウェアアップデート:脆弱性の悪用を防ぐため、すべてのソフトウェア、オペレーティングシステム、ブラウザを最新のセキュリティパッチに更新する。
- ネットワークセキュリティ:ネットワークのセグメンテーションや厳密なアクセス制御など、強力なネットワークセキュリティ対策を実施する。
- インシデント対応計画:フィッシングやクジラ攻撃のようなセキュリティ・インシデントへの対応計画を明確にし、被害を最小限に抑え、迅速な復旧を可能にする。
このようなセキュリティ対策を講じることで、組織の従業員を標的にしたソーシャル・エンジニアリング攻撃の成功率を確実に下げることができます。DMARCのような技術的コントロールと継続的な教育や認識を組み合わせることが、ホエーリングに対する強力な防御を構築する鍵となります。また、DMARCを導入することで、次のような技術に道を開くことができます。 BIMIのような技術にも道を開くことができ、検証済みのブランドロゴをメールに添付して、信頼と認知をさらに高めることができます。
- SPF中立メカニズム(?いつ、どのように使うか- 2025年6月23日
- DKIMドメインのアライメントの失敗 - RFC 5322による修正- 2025年6月5日
- DMARCbisの説明 - 何が変わり、どう備えるべきか- 2025年5月19日