多様化するフィッシング攻撃の1つに、「ホエーリング(Whaling)攻撃」があります。あまり聞き馴染みのない言葉ですが、企業に重大な被害をもたらす恐れがある攻撃です。この記事では、ホエーリング攻撃の手口や従来のフィッシング攻撃との違いを紹介します。
ホエーリング攻撃とは
ホエーリング攻撃とは、CEOや役員、財務担当者といった企業の経営層を狙うフィッシング攻撃です。あるいは、重役を騙って特定の社員を狙うフィッシング攻撃を意味する場合もあります。ホエーリング攻撃は通常のフィッシングに比べ、大きな目標を狙うことから「Whaling(くじら漁)」と名付けられました。
ホエーリングの偽装メールは、一般的なフィッシングメールよりも巧妙です。攻撃者がターゲットと周辺人物の情報を入念に調べるため、仕事には無関係な個人的な情報が含まれているケースもあります。
情報収集の手口
ホエーリングの攻撃者がターゲットの情報を探る際、悪用されやすいのがインターネット上の情報です。企業の重役の情報は、一般社員に比べてインターネット上に広く公開されています。たとえば、TwitterやFacebook、LinkedIn、企業サイトといったメディアです。重役の経歴、専門分野、家族構成、趣味といったパーソナルな情報を収集し、偽装メールの内容に落とし込みます。
ホエーリング攻撃の事例
大規模なホエーリング攻撃の1つが、2008年のアメリカの事例(※1)です。数千人以上の米国企業の重役が、サンディエゴ地方裁判所からの召喚令状を装ったメールを受信しています。メールには標的の氏名のほか、会社や電話番号などの個人的な情報が記載されていました。添付された召喚令状のドキュメントにはキーロガーが仕込まれており、パスワードなどの入力情報を盗み取ろうとしました。
※1出典CNBC「Larger Prey Are Targets of Phishing」
ホエーリング攻撃とフィッシング攻撃の違い
フィッシング攻撃とは、偽装したメールやSMSを使ってユーザーを騙し、個人情報や認証情報を盗む手口全般を指します。一方のホエーリング攻撃は、フィッシング攻撃の一種です。
従来のフィッシング攻撃の標的は、大勢の人々でした。不特定多数の人に対し、偽装メールを送信します。しかし、従来のフィッシング攻撃の存在と対策が広く認知されたため、ホエーリング攻撃のように標的を絞る新たな手口が生まれました。
ホエーリング攻撃が対象とするのは、企業における重要な役職を持つ人々です。下調べしたターゲットに合わせて偽装メールを作成するため、従来のフィッシングメールよりも見抜くことが難しくなっています。
ホエーリング攻撃の対策方法
ホエーリング攻撃の対策方法を、事前の「予防策」と事後の「対処法」に分けて解説します。
ホエーリング攻撃にあわないための予防策
ホエーリング攻撃の予防策は、フィッシング攻撃の基本的な対策と同様です。システム面では、メールのセキュリティソフトを導入することで、フィルタリング機能を利用できます。マルウェアが仕込まれたドキュメントや、不審なURLが記載されたメールのブロックが可能です。
とはいえ、フィルタリング機能は万全ではありません。社員だけでなく経営陣まで、サイバー攻撃に対する基礎的な研修の受講が求められます。「フィルタリングをすり抜けた不審なメールの添付ファイルは開かない」といった行動が取れるようにトレーニングしましょう。
さらに、緊急度が高いメールを受信しても、慌てて添付ファイルを開くのは危険です。まずは、電話やチャットで差出人に直接確認し、メールの真偽を検証しましょう。また、ホエーリング攻撃は、重役のふりをして従業員に機密情報を求めるパターンもあります。その場合も、返信前に必ず上司に確認することが大切です。
ホエーリング攻撃にあった際の対処策
ホエーリング攻撃と思われるメールを受信した場合は、すぐにシステム管理者に連絡しましょう。実際の偽装メールの内容を従業員に周知することで、予防意識が高まります。
あるいはホエーリング攻撃と気づかずに、添付ファイルをダウンロードしたり、不審なURLにアクセスしたりしてしまうかもしれません。このケースでも同じくシステム管理者に報告し、マルウェア侵入の有無や影響範囲を調査してもらう必要があります。偽装サイトに認証情報を入力した場合、当該サービスの一時利用停止やパスワード変更などの対応も必須です。
社内に情報システム管理者がいないのであれば、まずは端末をネットワークから切り離しましょう。続いてセキュリティ対策ソフトでマルウェアをスキャン・駆除します。詳しくは、日本ネットワークセキュリティ協会の「ウイルスに感染した場合の対処」を参考にしてみてください。
ホエーリング攻撃以外のフィッシング攻撃
フィッシング攻撃は、ホエーリング攻撃以外にもさまざまな種類があります。ここでは、以下4種類について見てみましょう。
- スピアフィッシング
- スミッシング
- ビッシング
- ファーミング
順番に特徴を説明します。
1.スピアフィッシング
スピアフィッシングとは、特定のターゲットを標的にするフィッシング攻撃です。攻撃者は事前にターゲットの情報を調べるため、一見すると信頼性の高い偽装メールを作成します。よくある例が、支店関係者や取引先の担当者になりすましたメールです。なお、ホエーリングは、スピアフィッシングに含まれます。
2.スミッシング
スミッシングとは、スマホのSMSを使ったフィッシング攻撃です。SMSに偽装サイトのURLを記載して誘導し、クレジットカードや暗証番号などの情報を入力させます。近年多いのは、宅配サービスを騙る手口です。「再配達手続きはこちら」などのメッセージを送り、ユーザーを偽装サイトに接続させようとします。
3.ビッシング
フィッシングの一種であるビッシングは、電話でユーザーを騙す手口です。特定の標的または不特定多数に電話をかけ、金融機関や行政、職場などの関係者を装って機密情報を聞き出します。攻撃者が職員になりすます場合もあれば、自動音声応答システムで案内するケースもあります。偽装サイトに音声サポートの番号を用意し、ユーザーから電話をかけさせるパターンは「リバースビッシング」と言います。
4.ファーミング
ファーミングとは、ユーザーを不正サイトにリダクイレクトさせて情報を盗むフィッシング攻撃です。他のフィッシングと異なり、ユーザーに偽装メールやSNSは送信しません。正規サイトにアクセスしようとしたユーザーに気づかれないように、偽装サイトへ自動でリダイレクトさせます。リダイレクトさせる仕組みづくりのため、攻撃者は事前に「DNSキャッシュポイズニング」などのサイバー攻撃を行う点が特徴です。
まとめ
ホエーリング攻撃は、企業の重要な意思決定権を持つ人を狙うフィッシング攻撃です。多くの場合、攻撃者はSNSなどのWeb上の情報から、ターゲットについての理解を深めます。偽装メールはターゲットの個人的な情報が含まれており、非常に巧妙に作られています。フィルタリングによるブロックが効果的ですが、中にはすり抜けてしまう偽装メールもあるでしょう。緊急性が高いメールが届いた際は、差出人に直接確認することで未然に被害を防げます。