ホエール・フィッシングとは

ホエール・フィッシングのターゲットは、Cレベルの幹部（CEO、CFO、COO）、その他の上級管理職、政治家、そして多額の支払いや電信送金、あるいは機密情報の公開を他の人の承認なしに承認できる組織のリーダーです。これらのターゲットは、平均的な人よりも多くのお金にアクセスできる顧客（またはギャンブラー）を指す俗語にちなんでホエール（クジラ）と呼ばれます。

フィッシング、スピア・フィッシング、ホエール・フィッシングがどのように関連しているかを理解することが重要です。主な理由は、これらの用語が同じ意味で、誤って、または文脈なしに使用されることが多いためです。

フィッシングとは、ユーザーを騙して（悪意のあるリンクや添付ファイルを介して）マルウェアをダウンロードさせたり、機密情報を共有させたり、犯罪者に金銭を送金させたり、あるいは自分自身や自分の組織をサイバー犯罪にさらすような行動を取らせるように設計された、詐欺的なEメール、テキスト・メッセージ、または電話のことです。

コンピューターやスマートフォンを持っている人なら誰でも、一括フィッシング攻撃を受けたことがあるでしょう。基本的に、有名な企業や組織からと思われるフォーム・メッセージは、一般的または信頼できる状況を説明し、緊急の行動を要求します（例えば、クレジット・カードが拒否されました。以下のリンクをクリックして、支払い情報を更新してください。など）。リンクをクリックした受信者は、クレジット・カード番号を盗んだり、コンピューターにマルウェアをダウンロードしたりする可能性のある悪意のあるWebサイトに誘導されます。

一括フィッシング・キャンペーンは、数を打てば当たるゲームのようなものです。攻撃者は、騙されるのは一部であることを承知の上で、できるだけ多くの人にメッセージを送信します。ある調査では、2022年の6カ月間に2億5500万通を超えるフィッシング・メッセージが検出されました。IBMの2024年版データ侵害のコストに関する調査によると、2024年のデータ侵害の原因としてフィッシングが2番目に多く、被害者にランサムウェアを送りつける方法としては最も一般的でした。

スピア・フィッシングは、組織内の特定の個人または個人のグループをターゲットとするフィッシング攻撃です。スピア・フィッシング攻撃は通常、支払いやデータ転送を承認できる中間管理職（買掛金管理者、人事部長など）に対して、ターゲットに対する権限を持つ同僚、またはターゲットが信頼する同じ職場の人（ベンダー、ビジネス・パートナー、アドバイザーなど）に対して行われます。

スピア・フィッシング攻撃は、一括フィッシング攻撃よりも個別化されており、その対策にはより多くの作業と調査が必要です。しかし、その余分な作業がサイバー犯罪者を利する可能性があります。例えば、スピア・フィッシング攻撃者は2013年から2015年にかけて、正規のベンダーを装い、従業員を騙して不正な請求書を支払わせることで、Facebook社とGoogle社から1億米ドル以上を盗み取りました。

ホエール・フィッシングまたはホエーリング攻撃は、上級幹部または役員のみを対象としたスピア・フィッシング攻撃です。攻撃者は通常、ターゲットの組織内の同僚、または別の組織の同等以上のレベルの同僚や関係者になりすまします。

ホエール・フィッシング・メッセージは高度に個人化されており、攻撃者は実際の送信者の文体になりすますために多大な労力を費やし、可能であれば進行中の実際のビジネス会話の文脈を参考にします。ホエール・フィッシング詐欺師は、送信者とターゲットとの間の会話を盗み見ることが多く、その多くは、究極の信憑性を得るために、送信者の実際のEメールやテキスト・メッセージ・アカウントを乗っ取り、そこから攻撃メッセージを直接送信しようとします。

ホエール攻撃は、より高額の支払いを許可できる個人をターゲットとするため、攻撃者にとっては即時により高い利益が得られる可能性があります。

ホエーリングは、ビジネス・メール詐欺（BEC）と同一視されることがありますが、ビジネス・メール詐欺は、攻撃者が同僚や同じ職場の人から送信されたように見える詐欺メールをターゲットに送信する、別のタイプのスピア・フィッシング攻撃です。BECは必ずしもホエーリングとは限りません（下位レベルの従業員をターゲットにすることが多いため）。また、ホエーリングは必ずしもBECとは限りません（Eメールが常に関与するわけではないため）。しかし、最もコストのかかるホエーリング攻撃の多くにはBEC攻撃も含まれます。例：

• 2015年、Ubiquity Networks社は、同社の最高経営責任者（CEO）と最高顧問になりすましたホエール・フィッシング攻撃者が、極秘の買収の資金を調達するために一連の電信送金を行うよう最高経理責任者を説得するEメールを送りつけたことにより、わずか17日間で約4,700万米ドルを失いました。
  
  
• 2018年、Pathe Film Group社は、フランスのPathe本社のCEOになりすました詐欺師がPatheオランダ支社のCEOにEメールを送り、買収資金を振り込むよう要求したため、1,920万ユーロ（2,100万米ドル）を失いました。
  
  
• また、2018年には、イタリアの企業Tecnimont SpA社のCEO、上級管理職、法律顧問になりすました攻撃者が、同社のインド事業部門のリーダーをだまして、13億インド・ルピー（1,825万米ドル）を香港の銀行に送金させました。これも、表向きは買収資金を調達するためでした。この詐欺の一環として、攻撃者は「買収」の詳細について話し合うために、いくつかの偽の電話会議を開催するという追加の措置を講じました。

フィッシング、スピア・フィッシング、ホエール・フィッシングはすべて、ソーシャル・エンジニアリング攻撃の例です。これは、セキュリティーを侵害するために技術的な脆弱性ではなく、主に人間の脆弱性を悪用する攻撃です。これらの攻撃は、マルウェアやハッキングに比べてデジタル証拠がはるかに少ないため、セキュリティー・チームやサイバーセキュリティー専門家にとって検出または防止することがはるかに困難になる可能性があります。

ほとんどのホエーリング攻撃は、上級役員を騙して詐欺業者や銀行口座への電信送金を実行、許可、命令させることで、組織から多額の資金を盗むことを目的としています。しかし、ホエーリング攻撃には、次のような他の目標があります。

• 機密データまたは機密情報の盗難。これには、従業員の給与情報や顧客の個人財務データなどの個人データの盗難が含まれる可能性があります。また、ホエール・フィッシング詐欺は、知的財産、企業秘密、その他の機密情報をターゲットにすることもあります。
  
  
• ユーザー資格情報の盗難。一部のサイバー犯罪者は、乗っ取ったEメール・アカウントから後続のホエール・フィッシング攻撃を開始できるように、Eメールの資格情報を盗むために予備的なホエール・フィッシング攻撃を開始します。また、資格情報を使用して、ターゲットのネットワーク上の資産やデータへの高レベルのアクセスを取得するサイバー犯罪者もいます。
  
  
• マルウェアの拡散。比較的少数ですが、ホエール・フィッシング攻撃の中には、悪意のある添付ファイルを開いたり、悪意のあるWebサイトにアクセスしたりすることで、ターゲットをだましてランサムウェアやその他のマルウェアを拡散させようとするものがあります。

繰り返しになりますが、ほとんどのホエール・フィッシング攻撃は強欲によって引き起こされます。しかし、経営者や企業に対する個人的な復讐、競争上の圧力、社会的または政治的な活動によって動機付けられることもあります。政府高官に対するホエーリング攻撃は、独立した、または国家支援によるサイバーテロ行為である可能性があります。

サイバー犯罪者は、目的にアクセスできるホエールと、ホエールにアクセスできる送信者を選択します。例えば、企業のサプライチェーン・パートナーへの支払いを横取りしようとしているサイバー犯罪者は、企業のCFOに請求書を送信し、サプライチェーン・パートナーのCEOに支払いを要求する可能性があります。従業員データを盗もうとする攻撃者は、CFOを装い、人事担当副社長に給与情報を要求する可能性があります。

送信者のメッセージに信頼性と説得力を持たせるために、ホエーリング・フィッシング詐欺師はターゲットと送信者、そして活動している組織を徹底的に調査します。

人々がソーシャル・メディアやその他のオンライン上で行う共有や会話の量のおかげで、詐欺師はソーシャル・メディア・サイトやWebを検索するだけで必要な情報の多くを見つけることができます。例えば、攻撃者はターゲットとなりうる人物のLinkedInプロフィールを調べるだけで、その人物の役職、責任、会社のEメール・アドレス、部署名、同じ職場の人やビジネス・パートナーの名前と役職、最近出席したイベント、出張の予定などを知ることができます。

ターゲットに応じて、主流メディア、ビジネス・メディア、および地元メディアが、詐欺師が利用できる追加情報（噂されているまたは完了した取引、入札中のプロジェクト、予想される建築コストなど）を提供する可能性があります。ハッカーは多くの場合、一般的なGoogle検索を行うだけで、説得力のあるスピア・フィッシング・メールを作成することができます。

しかし、ホエール・フィッシング攻撃の準備をする場合、詐欺師はターゲットと送信者をハッキングして追加の資料を収集するという重要な追加手順を実行することがよくあります。これは、ターゲットと送信者のコンピュータをスパイウェアに感染させるだけで、詐欺師は追加の調査のためにファイルの内容を閲覧できるようになります。さらに野心的な詐欺師は、送信者のネットワークをハッキングして、送信者のEメールまたはテキスト・メッセージング・アカウントにアクセスし、そこで実際の会話を観察したり、その会話に参加したりする可能性があります。

攻撃するときが来たら、詐欺師は攻撃メッセージを送信します。最も効果的なホエール・フィッシング・メッセージは、現在進行中の会話の文脈に合致し、特定のプロジェクトや取引に関する詳細な言及を含み、信頼できる状況（プリテキスティングと呼ばれるソーシャル・エンジニアリングの手口）を提示し、同様に信頼できる要求をするように見せかけます。例えば、会社のCEOになりすました攻撃者が次のようなメッセージをCFOに送信する可能性があります。

昨日の会話についてですが、BizCo買収を担当した弁護士からの請求書が添付されています。契約書に記載されているとおり、明日のET午後5時までにお支払いください。よろしくお願いいたします。

この例では、添付された請求書は法律事務所からの請求書のコピーであり、詐欺師の銀行口座に直接支払われるように変更されている可能性があります。

ターゲットにとって本物であるように見せるために、ホエール・フィッシング・メッセージには次のような複数のソーシャル・エンジニアリング戦術が組み込まれる場合があります。

• なりすましEメール・ドメイン。攻撃者が送信者のEメール・アカウントを乗っ取れない場合、類似したEメール・ドメイン（例えば、bill.smith@company.comの場合、bill.smith@cornpany.com）を作成します。ホエール・フィッシング・メールには、コピーされたEメールの署名、プライバシーに関する声明、および一見して本物であるように見せるその他の視覚的な手がかりも含まれている場合があります。
  
  
• 切迫感。重要な期限や延滞料金への言及など、時間的プレッシャーにより、ターゲットは要求を慎重に考慮せずに迅速に行動する可能性があります。
  
  
• 機密保持の徹底。ホエール・フィッシング・メッセージには、要求に疑問を呈する可能性のある他の人にターゲットが情報を共有しないように、「今はこのことを自分たち以外に共有しないでください」などの指示が含まれることがよくあります。
  
  
• ボイス・フィッシング（ビッシング）によるバックアップ。フィッシング・メッセージには、ターゲットが確認のために電話をかけることができる電話番号が含まれていることが増えています。一部の詐欺師は、フィッシング・メールに続いて、人工知能を利用した送信者の声のなりすましを使ったボイス・メール・メッセージを送ってきます。

ホエール・フィッシング攻撃は、他のフィッシング攻撃と同様、従来の（署名ベースの）サイバーセキュリティー・ツールでは必ずしも識別できないため、最も対処が難しいサイバー攻撃の1つです。多くの場合、攻撃者は「人間」のセキュリティー防御をすり抜けるだけで済みます。ホエール・フィッシング攻撃は、その標的を絞った性質とパーソナライズされたコンテンツにより、ターゲットや観察者にとってさらに説得力のある攻撃となるため、特に対策が困難です。

ただし、この種の攻撃を完全に防ぐことはできないとしても、組織がホエール・フィッシングの影響を軽減するために講じることができる対策はいくつかあります。

セキュリティー意識向上トレーニング。ホエール・フィッシングは人間の脆弱性を悪用するため、従業員のトレーニングはこれらの攻撃に対する重要な防御線となります。フィッシング対策トレーニングには次のものが含まれます。

• 不審なEメールを認識するためのテクニックを従業員に教える（例：Eメールの送信者名に不正なドメイン名がないか確認する）
  
  
• ソーシャル・ネットワーキング・サイトでの「過剰共有」を避けるためのヒント
  
  
• 安全な業務上の習慣を徹底する。例として、迷惑メールの添付ファイルを開かない、第二のチャネルを通じた異常な支払い要求を確認する、請求書を確認するためにベンダーに電話をかける、Eメール内のリンクをクリックせず、Webサイトに直接移動するなど
  
  
• 幹部が学んだことを応用できるホエール・フィッシング・シミュレーション

多要素認証と適応型認証。多要素認証（ユーザー名とパスワードに加えて他の1つ以上の認証情報を必要とする）や適応型認証（ユーザーが異なるデバイスや場所からログインする際に追加の認証情報を必要とする）を実装することで、ハッカーがユーザーのEメール・パスワードを盗むことができたとしても、ユーザーのEメール・アカウントにアクセスすることを防ぐことができます。

セキュリティー・ソフトウェア。単一のセキュリティー・ツールでホエール・フィッシングを完全に防ぐことはできませんが、次のようないくつかのツールがホエール・フィッシング攻撃を防止したり、ホエール・フィッシング攻撃による被害を最小限に抑えたりする役割を果たすことができます。

• AIベースのフィッシング対策ソフトウェア、スパム・フィルター、セキュアなEメール・ゲートウェイなどの一部のEメール・セキュリティー・ツールは、ホエール・フィッシングEメールの検出と迂回に役立ちます。
  
  
• ウイルス対策ソフトウェアは、攻撃者が調査を行ったり、会話を盗聴したり、Eメール。アカウントを制御したりするためにターゲット・ネットワークにハッキングするために使用するスパイウェアやマルウェアを無力化するのに役立ちます。また、ホエール・フィッシングによって引き起こされるランサムウェアやマルウェア感染を無力化するのにも役立ちます。
  
  
• システムおよびソフトウェアのパッチは、スピア・フィッシング詐欺師によって悪用されやすい技術的な脆弱性を解決できます。
  
  
• 安全なWebゲートウェイやその他のWebフィルタリング・ツールは、ホエール・フィッシング・メールにリンクされている悪意のあるWebサイトをブロックできます。
  
  
• エンタープライズ・セキュリティー・ソリューションは、セキュリティー・チームやセキュリティー・オペレーション・センター（SOC）が、ホエール・フィッシング攻撃に関連した悪意のあるトラフィックやネットワーク・アクティビティーを検出し、傍受するのに役立ちます。これらのソリューションには、セキュリティー・オーケストレーション、自動化および対応（SOAR）、セキュリティー・インシデントおよびイベント管理（SIEM）、エンドポイントの検知と対応（EDR）、ネットワークの検知と対応（NDR）、拡張検知および対応（XDR）が含まれます（ただし、これらに限定されない）。