ホエール・フィッシングは、詐欺的なEメール、テキスト・メッセージ、または電話で企業の上級幹部をターゲットにした特別なタイプのフィッシング攻撃です。メッセージは、受信者を操作してサイバー犯罪者への多額の支払いを承認させたり、機密のまたは貴重な企業情報や個人情報を漏洩させたりするために巧みに作成されています。
ホエール・フィッシングのターゲットは、Cレベルの幹部(CEO、CFO、COO)、その他の上級管理職、政治家、そして多額の支払いや電信送金、あるいは機密情報の公開を他の人の承認なしに承認できる組織のリーダーです。これらのターゲットは、平均的な人よりも多くのお金にアクセスできる顧客(またはギャンブラー)を指す俗語にちなんでホエール(クジラ)と呼ばれます。
フィッシング、スピア・フィッシング、ホエール・フィッシングがどのように関連しているかを理解することが重要です。主な理由は、これらの用語が同じ意味で、誤って、または文脈なしに使用されることが多いためです。
フィッシングとは、ユーザーを騙して(悪意のあるリンクや添付ファイルを介して)マルウェアをダウンロードさせたり、機密情報を共有させたり、犯罪者に金銭を送金させたり、あるいは自分自身や自分の組織をサイバー犯罪にさらすような行動を取らせるように設計された、詐欺的なEメール、テキスト・メッセージ、または電話のことです。
コンピューターやスマートフォンを持っている人なら誰でも、一括フィッシング攻撃を受けたことがあるでしょう。基本的に、有名な企業や組織からと思われるフォーム・メッセージは、一般的または信頼できる状況を説明し、緊急の行動を要求します(例えば、クレジット・カードが拒否されました。以下のリンクをクリックして、支払い情報を更新してください。リンクをクリックした受信者は、クレジット・カード番号を盗んだり、コンピューターにマルウェアをダウンロードしたりする可能性のある悪意のあるWebサイトに誘導されます。
大量のフィッシング・キャンペーンは数の勝負です。攻撃者は、騙されるのは一部であることを承知の上で、できるだけ多くの人にメッセージを送信します。ある調査では、2022年の6カ月間に2億5500万通を超えるフィッシング・メッセージが検出されました(ibm.com外部へのリンク)。IBMのCost of a Data Breach 2022レポートによると、2022年のデータ侵害の原因としてフィッシングが2番目に多く、被害者にランサムウェアを送りつける方法としては最も一般的であった。
スピア・フィッシングは、組織内の特定の個人または個人のグループをターゲットとするフィッシング攻撃です。スピア・フィッシング攻撃は通常、支払いやデータ転送を承認できる中間管理職(買掛金管理者、取締役人事部長など)に対して、ターゲットに対する権限を持つ同僚、またはターゲットが信頼する同じ職場の人(例.ベンダー、ビジネス・パートナー、アドバイザーなど)に対して行われます。
スピア・フィッシング攻撃は、一括フィッシング攻撃よりも個別化されており、その対策にはより多くの作業と調査が必要です。しかし、その余分な作業がサイバー犯罪者を利する可能性があります。例えば、スピア・フィッシング攻撃者は2013年から2015年にかけて、正規のベンダーを装い、従業員を騙して不正な請求書を支払わせることで、Facebook社とGoogle社から1億米ドル以上を盗み取りました(ibm.com外部へのリンク)。
ホエール・フィッシングまたはホエール攻撃は、上級幹部または役員のみを対象としたスピア・フィッシング攻撃です。攻撃者は通常、ターゲットの組織内の同僚、または別の組織の同等以上のレベルの同僚や関係者になりすまします。
ホエール・フィッシング・メッセージは高度に個人化されており、攻撃者は実際の送信者の文体になりすますために多大な労力を費やし、可能であれば進行中の実際のビジネス会話の文脈を参考にします。ホエール・フィッシング詐欺師は、送信者とターゲットとの間の会話を盗み見ることが多く、その多くは、究極の信憑性を得るために、送信者の実際のEメールやテキスト・メッセージ・アカウントを乗っ取り、そこから攻撃メッセージを直接送信しようとします。
ホエール攻撃は、より高額の支払いを許可できる個人をターゲットとするため、攻撃者にとっては即時により高い利益が得られる可能性があります。
ホエール攻撃は、ビジネス・メール詐欺(BEC)と同一視されることがありますが、ビジネス・メール詐欺は、攻撃者が同僚や同じ職場の人から送信されたように見える標的の詐欺メールを送信する、別のタイプのスピア・フィッシング攻撃です。BECは必ずしもホエール攻撃であるわけではありません(下位レベルの従業員をターゲットにすることが多いため)、ホエール攻撃は常にBECであるとは限りません(Eメールが常に関与するわけではないため)、最もコストのかかるホエール攻撃の多くにはBEC攻撃も含まれます。例:
フィッシング、スピア・フィッシング、ホエール・フィッシングはすべて、ソーシャル エンジニアリング攻撃の例です。これは、セキュリティーを侵害するために技術的な脆弱性ではなく、主に人間の脆弱性を悪用する攻撃です。これらの攻撃は、マルウェアやハッキングに比べてデジタル証拠がはるかに少ないため、セキュリティー・チームやサイバーセキュリティー専門家にとって検出または防止することがはるかに困難になる可能性があります。
ほとんどのホエール攻撃は、上級役員を騙して詐欺業者や銀行口座への電信送金を実行、許可、命令させることで、組織から多額の資金を盗むことを目的としています。しかし、ホエール攻撃には、次のような他の目標があります
繰り返しになりますが、ほとんどのホエール・フィッシング攻撃は強欲によって引き起こされます。しかし、経営者や企業に対する個人的な復讐、競争上の圧力、社会的または政治的な活動によって動機付けられることもあります。政府高官に対するホエール攻撃は、独立した、または国家支援によるサイバーテロ行為である可能性があります。
サイバー犯罪者は、目的にアクセスできるホエールと、ホエールにアクセスできる送信者を選択します。例えば、企業のサプライチェーン・パートナーへの支払いにつけこみたいサイバー犯罪者は、企業のCFOに請求書を送信し、サプライチェーン・パートナーのCEOに支払いを要求する可能性があります。従業員データを盗もうとする攻撃者は、CFOを装い、人事担当副社長に給与情報を要求する可能性があります。
送信者のメッセージに信頼性と説得力を持たせるために、ホエール・フィッシング詐欺師はターゲットと送信者、そして活動している組織を徹底的に調査します。
人々がソーシャル・メディアやその他のオンライン上で行う共有や会話の量のおかげで、詐欺師はソーシャル・メディア・サイトやWebを検索するだけで必要な情報の多くを見つけることができます。例えば、攻撃者はターゲットとなりうる人物のLinkedInプロフィールを調べるだけで、その人物の役職、責任、会社のEメール・アドレス、部署名、同じ職場の人やビジネス・パートナーの名前と役職、最近出席したイベント、出張の予定などを知ることができます。
ターゲットに応じて、主流メディア、ビジネス・メディア、および地元メディアが、詐欺師が利用できる追加情報(噂されているまたは完了した取引、入札中のプロジェクト、予想される建築コストなど)を提供する可能性があります。業界アナリストのOmdiaのレポートによると、ハッカーは一般的なGoogle検索を約100分行った後、説得力のあるスピアフィッシングメールを作成することができる(リンクはibm.com外に存在する)。
しかし、ホエール・フィッシング攻撃の準備をする場合、詐欺師はターゲットと送信者をハッキングして追加の資料を収集するという重要な追加手順を実行することがよくあります。これは、ターゲットと送信者のコンピュータをスパイウェアに感染させるだけで、詐欺師は追加の調査のためにファイルの内容を閲覧できるようになります。さらに野心的な詐欺師は、送信者のネットワークをハッキングして、送信者のEメールまたはテキスト・メッセージング・アカウントにアクセスし、そこで実際の会話を観察したり、その会話に参加したりする可能性があります。
攻撃するときが来たら、詐欺師は攻撃メッセージを送信します。最も効果的なホエール・フィッシング・メッセージは、現在進行中の会話の文脈に合致し、特定のプロジェクトや取引に関する詳細な言及を含み、信頼できる状況(プリテキスティングと呼ばれるソーシャル・エンジニアリングの手口)を提示し、同様に信頼できる要求をするように見せかけます。例えば、会社のCEOになりすました攻撃者が次のようなメッセージをCFOに送信する可能性があります。
昨日の会話についてですが、BizCo買収を担当した弁護士からの請求書が添付されています。契約書に記載されているとおり、明日のET午後5時までにお支払いください。よろしくお願いいたします。
この例では、添付された請求書は法律事務所からの請求書のコピーであり、詐欺師の銀行口座に直接支払われるように変更されている可能性があります。
ターゲットにとって本物であるように見せるために、ホエール・フィッシング・メッセージには次のような複数のソーシャル・エンジニアリング戦術が組み込まれる場合があります。
ホエール・フィッシング攻撃は、他のフィッシング攻撃と同様、従来の(署名ベースの)サイバーセキュリティーツールでは必ずしも識別できないため、最も対処が難しいサイバー攻撃の1つです。多くの場合、攻撃者は「人間の」セキュリティ防御を突破するだけで済みます。ホエール・フィッシング攻撃は、標的を絞った性質とパーソナライズされたコンテンツにより、ターゲットや観察者にとってさらに説得力のある攻撃となるため、特に困難です。
それでも、この種の攻撃を完全に防ぐことはできないとしても、組織がホエール・フィッシングの影響を軽減するために講じることができる対策はいくつかあります。
セキュリティ意識向上トレーニング。ホエール・フィッシングは人間の脆弱性を悪用するため、従業員のトレーニングはこれらの攻撃に対する重要な防御線となります。フィッシング対策トレーニングには次のものが含まれます
多要素認証と適応型認証。多要素認証(ユーザー名とパスワードに加えて1つ以上の認証情報を必要とする)や適応型認証(ユーザーが異なるデバイスや場所からログインする際に追加の認証情報を必要とする)を実装することで、ハッカーがユーザーの電子メールパスワードを盗むことができたとしても、ユーザーの電子メールアカウントにアクセスすることを防ぐことができます。
セキュリティー・ソフトウェア。単一のセキュリティー・ツールでホエール・フィッシングを完全に防ぐことはできませんが、次のようないくつかのツールがホエール・フィッシング攻撃を防止したり、ホエール・フィッシング攻撃による被害を最小限に抑えたりする役割を果たすことができます。
他の人が単に見逃している高度な脅威をキャッチします。QRadar SIEM は、分析と AI を活用して、脅威インテリジェンス、ネットワーク、およびユーザーの行動の異常を監視し、即時対応と修復が必要な箇所に優先順位を付けます。
IBM Trusteer Rapport は、金融機関が小売顧客および事業顧客を保護することで、マルウェア感染やフィッシング攻撃を検出および防止できるように支援します。
この洗練された使いやすいエンドポイント検出および対応 (EDR) ソリューションを使用して、サイバー攻撃からエンドポイントを保護し、異常な動作を検出し、ほぼリアルタイムで修復します。