ホエール・フィッシングのターゲットは、Cレベルの幹部（CEO、CFO、COO）、その他の上級管理職、政治家、そして多額の支払いや電信送金、あるいは機密情報の公開を他の人の承認なしに承認できる組織のリーダーです。これらのターゲットは、平均的な人よりも多くのお金にアクセスできる顧客（またはギャンブラー）を指す俗語にちなんでホエール（クジラ）と呼ばれます。

フィッシング、スピア・フィッシング、ホエール・フィッシングがどのように関連しているかを理解することが重要です。主な理由は、これらの用語が同じ意味で、誤って、または文脈なしに使用されることが多いためです。

フィッシングとは、ユーザーを騙して（悪意のあるリンクや添付ファイルを介して）マルウェアをダウンロードさせたり、機密情報を共有させたり、犯罪者に金銭を送金させたり、あるいは自分自身や自分の組織をサイバー犯罪にさらすような行動を取らせるように設計された、詐欺的なEメール、テキスト・メッセージ、または電話のことです。

コンピューターやスマートフォンを持っている人なら誰でも、一括フィッシング攻撃を受けたことがあるでしょう。基本的に、有名な企業や組織からと思われるフォーム・メッセージは、一般的または信頼できる状況を説明し、緊急の行動を要求します（例えば、クレジット・カードが拒否されました。以下のリンクをクリックして、支払い情報を更新してください。リンクをクリックした受信者は、クレジット・カード番号を盗んだり、コンピューターにマルウェアをダウンロードしたりする可能性のある悪意のあるWebサイトに誘導されます。

大量のフィッシング・キャンペーンは数の勝負です。攻撃者は、騙されるのは一部であることを承知の上で、できるだけ多くの人にメッセージを送信します。ある調査では、2022年の6カ月間に2億5500万通を超えるフィッシング・メッセージが検出されました（ibm.com外部へのリンク）。IBMのCost of a Data Breach 2022レポートによると、2022年のデータ侵害の原因としてフィッシングが2番目に多く、被害者にランサムウェアを送りつける方法としては最も一般的であった。

スピア・フィッシングは、組織内の特定の個人または個人のグループをターゲットとするフィッシング攻撃です。スピア・フィッシング攻撃は通常、支払いやデータ転送を承認できる中間管理職（買掛金管理者、取締役人事部長など）に対して、ターゲットに対する権限を持つ同僚、またはターゲットが信頼する同じ職場の人（例．ベンダー、ビジネス・パートナー、アドバイザーなど）に対して行われます。

スピア・フィッシング攻撃は、一括フィッシング攻撃よりも個別化されており、その対策にはより多くの作業と調査が必要です。しかし、その余分な作業がサイバー犯罪者を利する可能性があります。例えば、スピア・フィッシング攻撃者は2013年から2015年にかけて、正規のベンダーを装い、従業員を騙して不正な請求書を支払わせることで、Facebook社とGoogle社から1億米ドル以上を盗み取りました（ibm.com外部へのリンク）。

ホエール・フィッシングまたはホエール攻撃は、上級幹部または役員のみを対象としたスピア・フィッシング攻撃です。攻撃者は通常、ターゲットの組織内の同僚、または別の組織の同等以上のレベルの同僚や関係者になりすまします。

ホエール・フィッシング・メッセージは高度に個人化されており、攻撃者は実際の送信者の文体になりすますために多大な労力を費やし、可能であれば進行中の実際のビジネス会話の文脈を参考にします。ホエール・フィッシング詐欺師は、送信者とターゲットとの間の会話を盗み見ることが多く、その多くは、究極の信憑性を得るために、送信者の実際のEメールやテキスト・メッセージ・アカウントを乗っ取り、そこから攻撃メッセージを直接送信しようとします。

ホエール攻撃は、より高額の支払いを許可できる個人をターゲットとするため、攻撃者にとっては即時により高い利益が得られる可能性があります。

ホエール攻撃は、ビジネス・メール詐欺（BEC）と同一視されることがありますが、ビジネス・メール詐欺は、攻撃者が同僚や同じ職場の人から送信されたように見える標的の詐欺メールを送信する、別のタイプのスピア・フィッシング攻撃です。BECは必ずしもホエール攻撃であるわけではありません（下位レベルの従業員をターゲットにすることが多いため）、ホエール攻撃は常にBECであるとは限りません（Eメールが常に関与するわけではないため）、最もコストのかかるホエール攻撃の多くにはBEC攻撃も含まれます。例：

• 2015年、Ubiquity Networks社は、同社の最高経営責任者（CEO）と最高顧問になりすましたホエール・フィッシング攻撃者が、極秘の買収の資金を調達するために一連の電信送金を行うよう最高経理責任者を説得するメールを送りつけたことにより、わずか17日間で約4,700万米ドルを失いました（ibm.com外部へのリンク）。
  
  
• 2018年、Pathe Film Group社は、フランスのPathe本社のCEOになりすました詐欺師がPatheオランダ支社のCEOにEメールを送り、買収資金を振り込むよう要求したため、1,920万ユーロ（2,100万米ドル）を失いました（ibm.com外部へのリンク）。
  
  
• また、2018年には、イタリアの企業Tecnimont SpA社のCEO、上級管理職、法律顧問になりすました攻撃者が、同社のインド事業部門のリーダーをだまして、13億インド・ルピー（1,825万米ドル）を香港の銀行に送金させました（ibm.com外部へのリンク）。この詐欺の一環として、攻撃者は「買収」の詳細について話し合うために、いくつかの偽の電話会議を開催するという追加の措置を講じました。

フィッシング、スピア・フィッシング、ホエール・フィッシングはすべて、ソーシャル エンジニアリング攻撃の例です。これは、セキュリティーを侵害するために技術的な脆弱性ではなく、主に人間の脆弱性を悪用する攻撃です。これらの攻撃は、マルウェアやハッキングに比べてデジタル証拠がはるかに少ないため、セキュリティー・チームやサイバーセキュリティー専門家にとって検出または防止することがはるかに困難になる可能性があります。

ほとんどのホエール攻撃は、上級役員を騙して詐欺業者や銀行口座への電信送金を実行、許可、命令させることで、組織から多額の資金を盗むことを目的としています。しかし、ホエール攻撃には、次のような他の目標があります

• 機密データまたは機密情報の盗難これには、従業員の給与情報や顧客の個人財務データなどの個人データの盗難が含まれる可能性があります。しかし、ホエール・フィッシング詐欺は、知的財産、企業秘密、その他の機密情報をターゲットにすることもあります。
  
  
• ユーザー資格情報の盗難。一部のサイバー犯罪者は、乗っ取ったEメール・アカウントから後続のホエール・フィッシング攻撃を開始できるように、Eメールの資格情報を盗むために予備的なホエール・フィッシング攻撃を開始します。また、資格情報を盗み、ターゲットのネットワーク上の資産やデータへの高レベルのアクセスを取得するサイバー犯罪者もいます。
  
  
• マルウェアの拡散。比較的少数ですが、ホエール・フィッシング攻撃の中には、悪意のある添付ファイルを開いたり、悪意のあるWebサイトにアクセスしたりすることで、ターゲットをだましてランサムウェアやその他のマルウェアを拡散させようとするものがあります。

繰り返しになりますが、ほとんどのホエール・フィッシング攻撃は強欲によって引き起こされます。しかし、経営者や企業に対する個人的な復讐、競争上の圧力、社会的または政治的な活動によって動機付けられることもあります。政府高官に対するホエール攻撃は、独立した、または国家支援によるサイバーテロ行為である可能性があります。

サイバー犯罪者は、目的にアクセスできるホエールと、ホエールにアクセスできる送信者を選択します。例えば、企業のサプライチェーン・パートナーへの支払いにつけこみたいサイバー犯罪者は、企業のCFOに請求書を送信し、サプライチェーン・パートナーのCEOに支払いを要求する可能性があります。従業員データを盗もうとする攻撃者は、CFOを装い、人事担当副社長に給与情報を要求する可能性があります。

送信者のメッセージに信頼性と説得力を持たせるために、ホエール・フィッシング詐欺師はターゲットと送信者、そして活動している組織を徹底的に調査します。

人々がソーシャル・メディアやその他のオンライン上で行う共有や会話の量のおかげで、詐欺師はソーシャル・メディア・サイトやWebを検索するだけで必要な情報の多くを見つけることができます。例えば、攻撃者はターゲットとなりうる人物のLinkedInプロフィールを調べるだけで、その人物の役職、責任、会社のEメール・アドレス、部署名、同じ職場の人やビジネス・パートナーの名前と役職、最近出席したイベント、出張の予定などを知ることができます。

ターゲットに応じて、主流メディア、ビジネス・メディア、および地元メディアが、詐欺師が利用できる追加情報（噂されているまたは完了した取引、入札中のプロジェクト、予想される建築コストなど）を提供する可能性があります。業界アナリストのOmdiaのレポートによると、ハッカーは一般的なGoogle検索を約100分行った後、説得力のあるスピアフィッシングメールを作成することができる（リンクはibm.com外に存在する）。

しかし、ホエール・フィッシング攻撃の準備をする場合、詐欺師はターゲットと送信者をハッキングして追加の資料を収集するという重要な追加手順を実行することがよくあります。これは、ターゲットと送信者のコンピュータをスパイウェアに感染させるだけで、詐欺師は追加の調査のためにファイルの内容を閲覧できるようになります。さらに野心的な詐欺師は、送信者のネットワークをハッキングして、送信者のEメールまたはテキスト・メッセージング・アカウントにアクセスし、そこで実際の会話を観察したり、その会話に参加したりする可能性があります。

攻撃するときが来たら、詐欺師は攻撃メッセージを送信します。最も効果的なホエール・フィッシング・メッセージは、現在進行中の会話の文脈に合致し、特定のプロジェクトや取引に関する詳細な言及を含み、信頼できる状況（プリテキスティングと呼ばれるソーシャル・エンジニアリングの手口）を提示し、同様に信頼できる要求をするように見せかけます。例えば、会社のCEOになりすました攻撃者が次のようなメッセージをCFOに送信する可能性があります。

昨日の会話についてですが、BizCo買収を担当した弁護士からの請求書が添付されています。契約書に記載されているとおり、明日のET午後5時までにお支払いください。よろしくお願いいたします。

この例では、添付された請求書は法律事務所からの請求書のコピーであり、詐欺師の銀行口座に直接支払われるように変更されている可能性があります。

ターゲットにとって本物であるように見せるために、ホエール・フィッシング・メッセージには次のような複数のソーシャル・エンジニアリング戦術が組み込まれる場合があります。

• なりすましEメール・ドメイン。攻撃者が送信者のEメール・アカウントを乗っ取れない場合、類似したEメール・ドメイン（例えば、bill.smith@company.comの場合、bill.smith@cornpany.com）を作成します。ホエール・フィッシング・メールには、コピーされたEメールの署名、プライバシーに関する声明、および一見して本物であるように見せるその他の視覚的な手がかりも含まれている場合があります。
  
  
• 切迫感。重要な期限や延滞料金への言及など、時間的プレッシャーにより、ターゲットは要求を慎重に考慮せずに迅速に行動する可能性があります。
  
  
• 機密保持の徹底。ホエール・フィッシング・メッセージには、要求に疑問を呈する可能性のある他の人にターゲットが情報を共有しないように、「今はこのことを自分たち以外に共有しないでください」などの指示が含まれることがよくあります。
  
  
• ボイス・フィッシング（ビッシング）によるバックアップ。フィッシング・メッセージには、ターゲットが確認のために電話をかけることができる電話番号が含まれていることが増えています。一部の詐欺師は、フィッシング・メールに続いて、人工知能を利用した送信者の声のなりすましを使ったボイス・メール・メッセージを送ってきます。