セキュリティ
ホエーリング攻撃とは? フィッシングとの違いや対策など
フィッシング(フィッシング詐欺)は巧妙化・多様化が進んでおり、そのなかの一つに「ホエーリング攻撃」があります。ホエーリング攻撃は企業に多大な影響を及ぼしかねないため、十分に対策することが重要です。しかし、フィッシングと異なり、ホエーリング攻撃はあまり馴染みがないため、どのようなものかも分からない、という方は多いのではないでしょうか。
そこでこの記事では、ホエーリング攻撃の概要から対策方法までを解説します。
ホエーリング攻撃とは?
ホエーリング攻撃とは、主に企業の経営層をターゲットとしたフィッシング(正規の送信元を騙ってEメールを送信し、偽サイトなどに誘導することでユーザーの個人情報や認証情報などを盗み取るサイバー攻撃)です。フィッシングは魚釣りを模していますが、ホエーリング攻撃はより大きな獲物をターゲットとしているため、ホエーリング(Whaling=クジラ漁)といわれています。
フィッシングにはホエーリング攻撃以外にも「スピアフィッシング」や「エグゼクティブフィッシング」などの種類が存在するため、これらの解説と併せてもう少し掘り下げてみましょう。
ホエーリング攻撃とフィッシングの違い
ホエーリング攻撃はフィッシングの一種です。通常のフィッシングは不特定多数をターゲットとしていることが多いのに対して、ホエーリング攻撃では企業の経営層などをターゲットとしている点が大きな違いです。
CEO(最高経営責任者)やCFO(最高財務責任者)、役員などの幹部クラスの従業員がターゲットになります。これらのターゲットは一般的なフィッシング詐欺については理解していることが多いため、より巧妙な手口である点も特徴です。
フィッシング詐欺については、こちらの記事でも詳しく解説しているため併せてご覧ください。
→「フィッシング詐欺とは? 手口や被害事例・対策について解説」
スピアフィッシングとは
スピアフィッシングもフィッシングの手法の一つであり、特定のターゲットを標的とするフィッシングのことを表します。そのため、ホエーリング攻撃もスピアフィッシングの一種です。
特定のターゲットを標的とすることから、取引先や顧客などのターゲットに関係する人物になりすましたフィッシングメールが送信されます。一般的なフィッシングメールよりも自身に関係するメールだと勘違いしやすいため注意が必要です。
エグゼクティブフィッシングとは
エグゼクティブフィッシングは、スピアフィッシングの一種です。CEOや役員・管理職になりすましてフィッシングメールを送信します。この場合のターゲットは対象企業の従業員であり、上司や経営層からの指示だと勘違いしてしまうことを狙った攻撃です。
ホエーリング攻撃の手口
ホエーリング攻撃は、ターゲットとなる経営層などの人物の情報を収集することから始められます。一般的な従業員に比べて、経営層などの人物はインターネット上に多くの情報を公開しています。自社のWebサイトだけでなく、SNSなども使ってターゲットの個人的な情報を収集し、それらの情報を組み合わせてターゲットに適したフィッシングメールのメッセージを作成するのです。
ターゲットとなる人物の氏名はもちろんのこと、経歴や趣味・家族構成などもフィッシングメールを作成する上で重要な要素となります。事前にこのような情報を収集するため、偽装の精度の高いフィッシングメールとなり騙されやすくなる、というわけです。
ホエーリング攻撃への対策
ホエーリング攻撃に対しては、人的・技術的の両面から対策を取ることが重要です。
経営層や管理職へのセキュリティトレーニング
人的対策としては、セキュリティ教育・セキュリティトレーニングを行います。ホエーリング攻撃では経営層や管理職がターゲットになるため、一般的なフィッシングに対するセキュリティ教育だけでなく、経営層・管理職向けの教育・トレーニングを行いましょう。もちろん、ホエーリング攻撃以外にも一般従業員をターゲットとしたフィッシングも存在するため、組織としてセキュリティトレーニングを実施することが重要です。
日立ソリューションズ・クリエイトでは、個人・組織のレベルに合わせてセキュリティトレーニングが実施できる「サイバーセキュリティトレーニング」を提供しています。当社のホワイトハットハッカーによる実践的なカリキュラムにより、基礎的なセキュリティ教育としてだけでなく、セキュリティ人材の育成トレーニングとしてもご利用可能です。
セキュリティソフトの導入
技術的対策としては、セキュリティソフトの導入が有効です。十分にセキュリティ教育を行っていても、フィッシングの巧妙化・多様化が進むなかではミスによる被害が発生する可能性があります。
セキュリティソフトはマルウェア対策だけでなく、フィッシングサイトへのアクセスをブロックしたり、フィッシングメールを迷惑メールとして処理したりする機能を有するものもあります。また、メール認証プロトコルであるDMARCを用いることで、スパムやフィッシングメールを防ぐことも可能です。
セキュリティソフトの導入をはじめ、システム全体としてフィッシング対策を行えるソリューションの導入を検討すると良いでしょう。
ホエーリング攻撃は主に企業の経営層などをターゲットとしたフィッシングです。一般的なフィッシングに比べて偽装の精度が高く、騙されやすくなっているため注意しましょう。経営層などをターゲットとしていることから、ホエーリング攻撃による被害は企業に多大な影響を及ぼしかねません。
セキュリティソフトの導入などのシステム的な対策はもちろんのこと、経営層や管理職へのセキュリティトレーニングといった人的対策も有効です。対策を実施する際はホエーリング攻撃について理解を深め、人的・技術的の両面から対策を取りましょう。