MailData

ホエーリング攻撃とは何か?

ホエーリング攻撃とは何か?

DMARCで守る経営層

2024年5月28日
著者: Yunes Tarada
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 What is a Whaling Attack? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ホエーリング攻撃はCEO詐欺と同義であり、サイバー犯罪者が企業を詐取するためによく使う手口です。
ホエーリング攻撃では、攻撃者は組織内の権限を持つ人物や意思決定権を持つ人物、たとえば経営幹部や上級管理職を標的にします。

これは非常に効果的で、高度に標的化されたフィッシングまたはスピアフィッシング攻撃の一種であり、重要な対象(HVT: High-Value Targets)を騙して企業情報や認証情報を引き出したり、悪意のあるリンクをクリックさせたり、悪意のあるファイルを開かせたり、送金を実行させたりするように仕組まれています。
その目的は、多くの場合、機密データの窃取、重要なシステム(財務情報を扱うものなど)へのアクセス獲得、あるいは奪取した認証情報を用いたさらなる悪意ある活動にあります。

フィッシング攻撃は依然として重大な脅威であり、CISCOの2021年の調査では、企業の86%で少なくとも1人の従業員がフィッシング詐欺に引っかかったと報告されています。
さらに、Anti-Phishing Working Group(APWG)は、2022年第1四半期だけで100万件以上の個別のフィッシング攻撃を記録しています。

重要なポイント

  1. ホエーリング攻撃は、機密性の高い企業データやシステムへのアクセスを狙い、上級経営幹部を標的とするために高度な調査を利用します。
  2. ホエーリングは、特定の人物を狙う点、より高度な手口である点、そして財務的・評判的により壊滅的な結果を招きうる点で、通常のフィッシングとは異なります。
  3. 効果的な防御には、メール認証(DMARC を p=reject で設定)、セキュリティのベストプラクティス(2FA、更新)、従業員への意識向上トレーニングを組み合わせた多層的なアプローチが必要です。
  4. 攻撃者は、多くの場合、ソーシャルメディアや公開情報を調査し、説得力のあるパーソナライズされたホエーリングメールを作成します。
  5. ホエーリング攻撃におけるドメインなりすましを防ぎ、脅威を監視するためには、DMARC、SPF、DKIMの導入が不可欠です。

ホエーリング攻撃はどのように行われますか?

ホエーリング攻撃がどのように行われるかを理解するために、まずホエーリング攻撃、フィッシング、スピアフィッシングの違いを把握してみましょう。

通常のフィッシングとは何ですか?

ソーシャルエンジニアリング、つまり通常のフィッシングは、ログイン認証情報や金融情報のような機密情報を明かすよう人々を騙すことを伴います。
攻撃者はしばしば銀行や政府機関などの信頼できる組織を装い、情報の提供を求めるメールやメッセージを送ったり、偽のWebサイトへのリンクを送りつけます。
通常のフィッシング攻撃は、大規模な人々の集団に送信され、そのうちのごく一部でも騙されることを狙っています。

ホエーリングとフィッシングの比較

標的
通常のフィッシング攻撃は、特定の高位の人物を狙うのではなく、幅広い対象に向けて網を広く投げかけます。
一方、ホエーリング攻撃は、経営幹部や上級管理職といった特定の人物(大口標的や重要人物)を標的にします。
巧妙さ
通常のフィッシング攻撃は、しばしば単純です。
一方、ホエーリング攻撃は、より精巧で、よく作り込まれ、個別にカスタマイズされています。
攻撃者は標的の役割・責任・習慣について綿密に調査したうえで、公式のロゴや言葉遣い、正規に見えるメールアドレスを利用することが多いです。
狙われる情報
通常のフィッシングは、ログイン認証情報や個人の金融情報を狙うことが多いです。
一方、ホエーリングは、企業の機密情報の中でも価値の高いもの、例えば企業秘密、機密文書、会社の金融口座やシステムへのアクセスなどを狙います。
手法
通常のフィッシングは、一般的な脅迫的手口を使うことがあります。
一方、ホエーリングは、正規のWebサイトを模倣した偽のWebサイトを作成したり、業務に関連する緊急性を偽装して急がせるといった、より精巧な手口を用いることがあります。
影響
どのようなフィッシング攻撃でも被害をもたらす可能性がありますが、ホエーリング攻撃が成功した場合は、関与する上級権限へのアクセスや機密データの性質から、より壊滅的になることが多く、重大な財務的損失や評判への損害を引き起こす可能性があります。
ホエーリング攻撃は、既に信頼されている個人の信頼性と権威に付け込んで被害者を騙すため、成功率および危険性が通常のフィッシングよりも約2倍高くなります。
攻撃手法
どちらもしばしば電子メールを使用しますが、ホエーリングでは標的を絞った電話連絡やその他の通信手段が用いられることもあります。

ホエーリングとスピアフィッシングの比較

スピアフィッシング
組織内の特定の人物や特定のグループを対象に詐欺的なキャンペーンを仕掛けるために行われる、非常に標的を絞ったフィッシング攻撃でもあります。
ホエーリング
一般的なスピアフィッシングとは異なり、主な標的として企業の最上位幹部(大口標的)のみを選ぶ点が特徴です。

ホエーリング攻撃では、攻撃者が上級管理職にフィッシングメールを送り、自分をその上司、CEO、またはCFOになりすまして装うことがあります。
また、幹部を装って下位の従業員を標的にすることもあります。
このメールは、会社の資金の送金手続きを実行させるよう仕向けるか、攻撃者が組織のシステムへアクセスするのに役立つ企業の認証情報を要求する内容になっていることが多いです。

ホエーリング攻撃の定義

ホエーリングという用語は、CEO や CFO のような企業の経営幹部、つまり大物を意味するために使われます。
これらの人物は経営層に属しているため、他の誰も持たない機密情報にアクセスできます。
そのため、彼らになりすましたり、騙したりすることは、企業の業務や評判に深刻な悪影響を及ぼし、財務的損失、データ漏えい、生産性の低下、さらには法的影響を引き起こす可能性があります。

上記の例では、財務チームのマネージャーであるジョンが、組織のCEOであるハリーから「至急送金を実行するように」と依頼するメールを受け取りました。
この場合、ジョンが別の手段で依頼内容を確認しなかったり、フィッシングの兆候に気づかなかったりすると、自分がアクセスできる資金を送金してしまい、結果としてホエーリング攻撃の犠牲になってしまいます。

ホエーリング攻撃を防ぐ方法:組織とデータを守る

これらの攻撃をソーシャルエンジニアリングの手口としてさらに効果的にするために、攻撃者は入念かつ詳細に事前調査を行うことが多いです。
彼らは、Facebook、Twitter、LinkedIn といったソーシャルメディアや企業のWebサイトなど、公開されている情報を収集し、経営幹部の日常生活、活動、職務内容、職務上の人間関係を把握します。
これにより、攻撃者は信頼できる人物や正規の存在のように見せかけることができ、被害者を容易に騙すことが可能になります。

では、ホエーリング攻撃を止める方法はあるのでしょうか?
はい、あります!

以下に示すのは、フィッシング、なりすまし、ホエーリング、その他のソーシャルエンジニアリング攻撃と戦うために導入できる、いくつかの積極的な対策です。
最も効果的なのは、多層的なアプローチです。

1.メール認証プロトコル
  • Sender Policy Framework(SPF)は、正規の送信元を認証するのに役立ちます。
    複数のドメインや第三者サービスを使ってメールを送信している場合、SPFレコードを設定することで、それらを明示できます。
    これにより、自社を装う悪意のあるドメインを識別することが可能になります。
  • DomainKeys Identified Mail(DKIM)は、暗号署名を利用するメール認証プロトコルであり、送信したメッセージが配送経路の中で改竄されていないことを保証するのに役立ちます。
  • 最後に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPF または DKIM の識別子を整合させ、あなたのドメインから送信された偽のホエーリングメールを受信サーバにどのように処理させたいか(例:拒否する)を指定する仕組みです。
    p=reject に設定された DMARC ポリシーは、ホエーリングで使われる直接ドメインなりすましに効果的に対抗できます。
    これにより、検証に失敗したメールを拒否し、送信メールの認証を必須とし、なりすましメールが配信されるのを防ぐことが可能になります。
2.DMARC レポーティング
ポリシーモードを適用した後は、DMARC の集計レポートとフォレンジックレポートを有効にして、メール送信元を監視し、配信状況を把握し、自分のドメインに対する攻撃の試みを迅速に検知できるようにします。
DMARC アナライザーツールを利用すれば、これらのレポートを効率的に管理し、ポリシーを安全に強化していくことが可能です。
3.従業員の教育とトレーニング
従業員、特に上級管理職や財務チームがホエーリングのリスクを理解し、怪しいメールを識別できるように訓練することが重要です。
特に財務関連の依頼については、別の通信手段で確認を行うよう徹底し、不明なリンクをクリックしたり、予期しない添付ファイルを開いたりしないようにします。
定期的なサイバー意識向上トレーニングは不可欠です。
4.強力な認証
可能な限り、特にメールや機密性の高いシステムへのアクセスにおいては、二要素認証(2FA)または多要素認証(MFA)を導入してください。
5.パスワードセキュリティ
すべてのアカウントに対して、強力で一意のパスワードを使用するようポリシーを徹底してください。
6.メールフィルタリングとセキュリティソフトウェア
不審なメールをブロックしたり、確認用にフラグを付けたりするために、堅牢なメールフィルタリングソリューションを使用してください。
また、アンチウイルスやファイアウォール保護といったエンドポイントセキュリティを導入してください。
7.定期的なソフトウェア更新
すべてのソフトウェア、オペレーティングシステム、ブラウザを最新のセキュリティパッチで常に更新し、脆弱性の悪用を防ぎましょう。
8.ネットワークセキュリティ
強力なネットワークセキュリティ対策を導入してください。
その際には、ネットワークのセグメンテーションや厳格なアクセス制御を含めることが有効です。
9.インシデント対応計画
フィッシングやホエーリング攻撃のようなセキュリティインシデントに対応するための明確な計画を策定し、被害を最小限に抑え、迅速な復旧を可能にしてください。

これらのセキュリティ対策を講じることで、組織の従業員を狙ったソーシャルエンジニアリング攻撃の成功率を確実に低下させることができます。
DMARC のような技術的な制御と、継続的な教育や意識向上を組み合わせることが、ホエーリングに対抗する強力な防御を構築する鍵となります。
さらに、DMARC を実装することで BIMI のような技術の導入にもつながり、検証済みのブランドロゴをメールに添付できるようになり、信頼性と認知度を一層高めることが可能になります。