ホエーリング攻撃とは

ホエーリング攻撃（別名ホエーリングフィッシング攻撃）は、特に上級管理者や経営幹部を標的としたソーシャルエンジニアリング攻撃の一種であり、金銭や情報を盗んだり、さらなるサイバー攻撃を実行するために個人のコンピューターにアクセスしたりすることを目的としています。ホエーリング攻撃は、組織内の別の上級社員のような信頼できる名前やグループを装って個人をだまし、目的のアクションを実行させるため、大きな利益をもたらすことができます。

すべてのソーシャルエンジニアリング攻撃は、騙すことがその基本にあります。標的は、不正なリンクをクリックするなどのアクションを実行するように仕向けられます。フィッシング攻撃は非特異的で、スピアフィッシング攻撃は特定の個人層、企業、または業界を対象とします。一方、ホエーリング攻撃は、高度に標的を絞ったビジネスメール詐欺（BEC）手法を使用して、それぞれの固有の攻撃を実行します。

ホエーリング攻撃の仕組み

ホエーリング攻撃は、綿密な下調べに基づいて行われるため、聡明な人々をもだましてしまいます。例えば、あるCEOが、休暇中であることがわかっているCFOからと思われるEメールを受け取ります。Eメールにはこのように書かれています。「これから飛行機に搭乗するのですが、急遽ベンダーXへの支払いを行う必要があり、そうしないと重要な出荷が遅れてしまいます。そこで、次の口座番号に200万ドルを電信送金していただけますか…」

CEOは、CFOが旅行中であることを知っています。また、ベンダーが正当であることもわかっています。文体は、CFOの文体と一致しています。Eメールアドレスは正しいように見えます。この攻撃は、どのようにして行われたのでしょうか？

詐欺師は、ソーシャルエンジニアリング、Eメールスプーフィング、コンテンツスプーフィングなどの複数の手法を使用して、説得力のあるホエーリングメールを作成します。また、ソーシャルメディアやその他のオープンソースのデータを探索して、なりすます人物とだます相手を調査します。次に、フィッシング攻撃を準備段階として使用し、下位レベルの従業員のコンピューターにアクセスします。その目的は、人事レコードにアクセスし、会社の重要人物の休暇予定を確認するほか、特定のEメールの受信トレイを盗み見て、もっともらしいメッセージをでっち上げるために使用できる個人情報を取得することにあります。さらに、標的となる会社の従業員に人気があることで有名なコーヒーショップでたむろするなど、物理的なソーシャルエンジニアリングを企てることもあります。

ホエーリングメールを認識する方法

企業では、セキュリティ意識向上トレーニングの必須化が進んできましたが、経営幹部はそのようなプログラムに従うとは思えません。その理由として、経営幹部にはトレーニングが不要であると判断するゲートキーパー（中継者）がいる、経営幹部にはトレーニングが不便である、または平均的な従業員向けに設計されたトレーニングが経営幹部のニーズには適切でない、などが挙げられるでしょう。

また、自分のホエーリング対策にどれほど厳しい努力を重ねても、1通のホエーリングメールがあなたの防御をすり抜ける可能性は常にあります。経営幹部の受信トレイに侵入する詐欺から企業を守る唯一の方法は、経営幹部にその地位に適したセキュリティ意識向上トレーニングを提供して標的を強化することです。

上級社員がビジネスメール詐欺の脅威をすでに認識している場合でも、ホエーリングメールはフィッシングまたはスピアフィッシングメールよりもはるかに洗練されており、最も慎重な人でさえだまされる恐れがあることを理解する必要があります。以下の点に注目するよう指導します。

• 内容：1つ目の危険信号は、要求の性質です。電信送金または機密データの転送を要求する場合は、よく調べる必要があります。
• 切迫感：要求に時間制限があり、期限を過ぎると悪い結果になることを示唆している場合は、非常に疑わしいと見なし、セキュリティチームによる検査などの多段階の検証プロセスの対象にします。
• ドメイン：ドメインは、会社のドメインと完全に一致する必要があります。ドメインに「m」の代わりとなる2文字「rn」「w」の代わりとなる「vv」が使用されていないか調べます。

ホエーリング攻撃の標的

詐欺師にとっては、莫大な利益につながるため、このすべての努力に価値があります。ニュースになったホエーリング攻撃の犠牲者には、1,720万ドルを失った穀物会社や2,100万ドルを失った映画会社などがあります。ある航空機部品メーカーは、5,400万ドルを失い、17年間CEOを務めた人物を解雇しました。

他の企業は、大量の機密データの流出を報告しています。あるハードドライブメーカーは、数人の従業員の所得税データと、他の何千人もの従業員に属する機密データを詐欺師に送信しました。この会社は従業員から訴訟を起こされています。あるソーシャルメディア会社は、CEOになりすました詐欺師の要求に応じて、従業員の給与情報を送信しました。盗まれた情報は、ダークウェブで販売されたり、国家主体のアクターによって政治目的に利用されたりする恐れがあります。

平均的なホエーリング攻撃がこのような劇的な成果をもたらすことはありませんが、攻撃者から要求される金額は上がり続けています。電信送金の平均要求金額は、2020年の最後の3か月に48,000ドルから75,000ドルに上がりました。2020年に最も多くホエーリング攻撃の標的となった産業は、金融機関、ウェブメール、SaaSでした。

ホエーリング攻撃を回避する方法

ホエーリング攻撃はフィッシング攻撃と同じ方法で開始されるため、すでに導入されている対策の多くが企業を守るのに役立ちます。以下の内容が含まれます。

• ドメインが疑わしい場合（例えば、Widget.comから送信されているように見えるEメールが実際にはVvidget.comから送信されている場合など）は、ネットワーク外からのEメールを停止して、偽装されたアドレスを公開する。
• 会社のルールに違反するEメールをブロックし、対象のドメインの年齢と疑わしい送信者のドメインの年齢、「電信送金」などの疑わしいフレーズの記載、またはその他の属性に基づいてEメールにフラグを設定するデータ損失防止（DLP）ソフトウェアを実装する。
• ホエーリング防御を実践するようセットアップする。例えば、「機密情報または一定額を超える電信送金をEメールで要求された場合は電話で確認し、2人目の人員がそのような取引を承認しなければならない」という規則を制度化するなど。
• 役に立つ詳細情報を詐欺師に調べられないように、ソーシャルメディア上のプロファイルを友人のみに限定することを従業員に求める。
• 脆弱性や必要性の意識が一般ユーザーとは異なる経営幹部に対し、特別なセキュリティ意識向上トレーニングを提供する。