ホエールフィッシング攻撃の解説と対策

ホエールフィッシング攻撃の解説

ホエールフィッシング攻撃とは？

ホエールフィッシング攻撃は、一部では「CEO詐欺」とも呼ばれる、スピアフィッシング攻撃（主に社内の特定カテゴリに属する個人を標的とする）の一種です。ホエールフィッシング攻撃の場合を除き、標的とされる社員のカテゴリは、最高幹部や役員など、組織内の重要な役職に限られます。

ホエールフィッシング攻撃はソーシャルエンジニアリングのようなもの？

一言で言うなら、答えは「はい」です。ホエールフィッシング攻撃の大元であるフィッシング攻撃は、ソーシャルエンジニアリングの手口の一つで、警戒心の低いユーザをだまして特定の人しか見られない情報やデータ（パスワードやアクセストークン）を収集するものを指します。

ホエールフィッシング攻撃はサイバーセキュリティに影響する？

ソーシャルエンジニアリングに分類されることからもわかるように、ホエールフィッシング攻撃が組織のセキュリティ状態に影響を及ぼすことは間違いなく、実例も確認されています。ホエールフィッシング攻撃で生じる脅威は、ソーシャルエンジニアリング攻撃と同様に、攻撃者の狙いや保護されている（この場合は、保護「されていない」）リソースによって異なります。以下の実例を基に、セキュリティに対するホエールフィッシング攻撃の影響を見ていきましょう。

ホエールフィッシング攻撃の実例

ごく一部ですが、以下にホエールフィッシング攻撃の実例3件と、それぞれの事例で組織のサイバーセキュリティを突破するために使われた手法を紹介します。

1. 2016年：EUのCrelan Bankの従業員が、同行CEOを騙るEメールを受け、攻撃者の銀行口座に7,500万ドルを送金しました。
2. 2019年：英国のエネルギー企業のCEOが親会社のCEOから電話で依頼され、ハンガリーのサプライヤに243,000ドルを送金しました。しかしこの電話は、攻撃者がAIソフトウェアで親会社CEOの音声を模倣した詐欺でした。
3. 2020年：オーストラリアのヘッジファンドであるLevitas Capitalが、800万ドルの損失とクライアントからの評判低下を受け、廃業に追い込まれました。原因は不正なZoomの招待リンクを通じ、攻撃者に悪意あるコードをインストールされ、偽の請求書を生成されたことです。

ホエールフィッシング攻撃の仕組み

ホエールフィッシング攻撃の流れ

• 偵察：攻撃者が標的とする幹部や管理職について幅広い調査を行い、標的になりすますための情報を収集します。
• 武器化：攻撃者が必要な情報を利用し、攻撃に使用する本物のコンテンツを作成します。このコンテンツは主にEメールで配布され、ビジネスメール詐欺（BEC）の大部分を占めていますが、以下の経路も利用されています。
  • SMS
  • メッセージング/ソーシャルメディアプラットフォーム
  • なりすまし電話
• 配布：メッセージタイプの場合は標的に配布します。一般的には、緊急事態を装い、幹部や役員からの要請とみせかけて標的に対応を強く促します。
• 搾取：攻撃者が標的に行動を実行させます。例えば、機密データを渡させたり、後にシステムへ侵入し大規模なデータ侵害を行うために機密資料へのアクセス用認証情報を提供させたり、送金させたり、「未払い」の請求書を支払わせます。
• 副産物：ホエールフィッシング攻撃に被害者が騙されることで生じる影響は、搾取で強いられる行動と同様に様々で、対象の組織、攻撃の規模、組織の法的影響に大きく左右されます（詳細は後述）。

ホエールフィッシング攻撃の標的

先述のとおり、ホエールフィッシング攻撃では特定の層のみを標的とします。標的としては以下が考えられます。

• 最高幹部：
  • CEO
  • CFO
  • COO
  • CSO
  • CISO
• 取締役員
• 上級管理職
  • 管理監督者
  • 部長

ホエールフィッシング攻撃の影響

ホエールフィッシング攻撃で生じ得る結果

ホエールフィッシング攻撃で生じる反響は組織によって様々であり、無数の要因に左右されます。以下に、ホエールフィッシング攻撃で実際に生じた結果の一部を示します。

• 今後の攻撃に備えるための従業員へのセキュリティトレーニングの義務化
• 責任者の解雇
• 競争優位性や稼動能力の喪失
• 世間や業界における評判低下
• 多大な金銭的損失（多くの場合補填不能）
• 民事責任/刑事責任（規制違反が原因）
• 部分的または完全な事業停止

ホエールフィッシング攻撃の対策

ホエールフィッシング攻撃を特定・防止するためのガイドライン

これまでホエールフィッシング攻撃（より広く言えばフィッシング攻撃）には、コミュニケーションで標的を騙そう（またはホエールフィッシングにかけよう）としていることがはっきりとわかる明らかな兆候がありました。

以下に、次に幹部から「急ぎの要請」を受け取った場合に注意すべきガイドラインを示します。必ず通用するとは限らないものの、これらに従うことで本当の要請であるのか詐欺であるのかを見分けやすくなるでしょう。

• 外部からのE メール：多くのE メールサービスでは、IT担当者の設定により、外部ソースから送られたEメールにフラグを付けられます。この設定を有効にした状態で、CEOや上級管理職からと思われるE メールを受け取ったものの、そのE メールが外部から送られたものであるという通知が表示されたとします。その場合は、万が一に備えて当該メールを報告することをお勧めします。組織の従業員間で送り合うE メールは、外部ではなく内部からのものであることがほとんどであるからです。
• 緊急性：ソーシャルエンジニアリング攻撃の多くは、緊急性を主軸としています。つまり、この攻撃では、（質問や要請内容の確認をするための時間を与えることなく）即座の対応を迫るシナリオをでっち上げます。そして多くの場合、対応が遅れた場合の深刻さを引き合いにして犠牲者に短時間での対応を迫り、攻撃を成功させているのです。
• 結果：緊急性の対になるものが、結果です。例えば、「この要請に直ぐ対応しない場合、あなたに問題が生じる」のように使われます。攻撃では、悲惨な結果や脅威、最後通告、法的措置などが標的を脅して騙すための手段として使用されます。
• 機密性：通信方法は一見安全で、さらには暗号化されているようにも思えるかもしれません。しかし、一般的には機密データの議論や交換に使えるほど「安全」とはみなされません。ソーシャルメディアのような公開プラットフォームではなおさらです。送られたEメールでは、セキュリティ上の問題から要請内容を秘密にするようはっきりと指示されているのに、個人情報や認証情報を提供するよう求められた場合は、どう考えても疑うべきです。最悪の場合、ソーシャルエンジニアリング攻撃である可能性もあります。
• リンクと添付ファイル：通信チャネルは元々リンクや添付ファイルを同僚と素早く効率的に共有しあうためのものなので、これらの判別は困難です。しかし、この共有のしやすさこそが、攻撃者が詐欺メッセージを送る際に利用されているのです。共有は「機能」なので、大した被害は生じないと思う方もいるかもしれません。そのような考えは間違いで、深刻な被害が生じるおそれがあります。端的に言えば、万が一に備え、リンクのクリックおよび添付ファイルのダウンロード/開封は控えましょう。
• 確認：要請を受けた場合、どのような種類のものでも当人に直接確認すべきです。特に財務面に関わる要請、あるいは普段と経路が異なる要請であればなおさらです。少なくとも、要請された対応を取る前に、要請者と対話し、要請が正当なものであるか確認してください。被害者が詐欺に遭う可能性を最小限に抑えるため、口座番号または支払手順を変更する場合は厳格なプロトコルを適用することをお勧めします。

啓発と教育の重要性

現在、ここまでに述べたセキュリティの問題を解消あるいは軽減するという宣伝文句の製品やソリューションが数多く提供されています。それらの多くには十分な効果があるかもしれませんが、ホエールフィッシング攻撃の対策においては、「1オンスの予防は1ポンドの治療に値する」事実は今も変わりません。これは1736年、つまり今日のようなフィッシングやインターネット、さらにはコンピュータさえも登場していなかった時代にベンジャミン・フランクリンが述べた言葉です。

しかし、この核心的なメッセージは、数百年前も今も同様に当てはまります。サイバーセキュリティでは、予防には修復以上の価値があるのです。

ソーシャルエンジニアリングの阻止では、重要な対策を複数層にわたり組み合わせ、多層防御戦略を構築することで顕著な効果が得られます。これらの対策は以下のとおりです。

• 脅威に関する認識向上：どの脅威がどのように貴社に影響するかわからない状況で、脅威から身を守ることができると思えるでしょうか。対策を整えるための第一歩として、まず脅威の情報やその最新事情、仕組み、標的、リソースに対する影響、貴社固有の要件に対する効果について学ぶことが推奨されます。IT部門およびセキュリティ部門で情報交換や率直な話し合い、能力開発を進め、攻撃者の戦術を把握しましょう。
• 継続的なトレーニング：次の質問です。従業員が自分たちに迫っている最新の脅威を把握していない状況で、業務リソースの保護体制を整えさせることができるでしょうか。何と言っても、従業員はセキュリティの第一線であるだけでなく、対策に不可欠な存在です。組織の他のポリシーに合わせたトレーニングを定期的に開催することで、脅威に遅れることなくセキュリティトレーニングも進化させ、従業員に最新の知識を提供できます。なにより、セキュリティはIT部門だけでなく、社内全員の責任です。
• セキュアなプロトコルの策定：この対策は社内全体の一般ポリシーにも当てはまりますが、本記事の焦点はホエールフィッシング攻撃にあります。そのためこの対策は、ホエールフィッシング攻撃の標的グループとなる幹部層に推奨します。最高幹部の皆さんには、自身の個人データについて、何を共有するのか、どこで閲覧できるのか、誰が閲覧できるのかを他の層よりも注意することが求められます。例えば、公開Web サイトでプライバシー制限（ソーシャルメディアのプロファイル制限など）を有効にすると、公開される個人情報およびビジネス情報の量が抑えられます。共有する情報を減らせば、攻撃者によるなりすましに悪用されるデータも削減できます。
• セキュリティ対策の拡張：セキュリティ対策は素晴らしいものです。ただし、全従業員の情報が記録されている人事データベースにアクセス可能なコンピューティングデバイスへのリモートアクセスについて、COOを名乗る人物から要求があった場合に疑うことなく許可してしまうようでは、ポリシーでパスワードを一意かつ強固なものにするよう定めたとしても社内の機密リソースへの不正アクセスは防止できません。しかし、持続的標的型攻撃（APT）を検出・対応できるエンドポイントセキュリティ対策を追加で導入すれば、大きな効果があります。脅威を迅速に特定して修復することで、対応が遅れ、攻撃者に貴社のデータすべてを侵害できるほどの時間を与えてしまう事態を防ぐことができるからです。

まとめ

ホエールフィッシング攻撃の展望

ホエールフィッシング攻撃は、当面にわたり続くものと考えられています。これは憶測ではありません。例えばFBIが「判明した範囲で予想損失額が1,300％増加した」と述べているように、各関係機関がこれまでも、そして現在でもフィッシング攻撃の増加に対する組織のセキュリティ対策および指針について見解を示しているからです。

またSecurity Magazineは、GreatHorn社によるホエールフィッシング攻撃および役員なりすましの増加状況に関する調査の引用として、「対象組織の59％が、幹部がホエールフィッシング攻撃の標的になったことがあると回答」しただけでなく、「46％が、幹部が被害に遭ったと回答」としたとも述べています。

ホエールフィッシング攻撃 + AI

フィッシング攻撃は規模を広げやすい一方で、ホエールフィッシング攻撃の効果はメッセージ1通あたりの質に左右されます。これらを両立するものは、ドラマ「Mr. Robot（ミスター・ロボット）」で示されたような攻撃ベクトルではありません。AIを活用した新世代のホエールフィッシング攻撃です。

Trend Microはこれを「ハープーンホエーリング攻撃」と名付け、次のように説明しています。「ハープーンホエーリング攻撃は極度に自動化可能であり、生成的事前学習（GPT）AI言語モデルを利用することで、厳選した配布リストに基づき極めて成功率の高い標的型攻撃を複数同時に展開することができます。これらのリストでは『すべての銀行幹部』、『すべての警察幹部』、『X国の全政治家』のように、役員や高級官僚を多数指定できます」

警戒と教育の奨励

「メールだけで信じてはいけない」 — FBI捜査官

上述の個々の対策を導入すれば、ある程度のセキュリティ対策は整えられます。しかし、多層型の防御を構築するには、高度な脅威検出・軽減機能を備えたソリューションとセキュアなプロトコルを組み合わせ、さらに現行の従業員トレーニングで扱っていない問題が発生した場合の修復手段も用意する必要があります。

本記事の要点

• ホエールフィッシング攻撃はソーシャルエンジニアリング攻撃の一種で、上級職員（幹部や役員など）のみを標的とする
• FBIによればホエールフィッシング攻撃は組織狙いのフィッシング攻撃の中でも上位を占め、120億ドルの損失をもたらしている
• ホエールフィッシング攻撃の事例は世界中で確認されており、機密情報の侵害や金銭的損失、廃業などの被害が出ている
• ホエールフィッシング攻撃では、攻撃者がなりすましの成功率を高めるために公開資料について包括的な偵察を行い、会社幹部の情報を収集する
• 攻撃手段にはEメールだけでなくSMSやメッセージング/ソーシャルメディアプラットフォーム、電話も使用される
• 他タイプのフィッシング攻撃と同様に、攻撃者は標的に検証する間もなく行動させるための手段として「緊急性」と「結果の深刻さ」の2つを特に使用している
• 従業員トレーニングは、特定の脅威についてユーザを教育するだけでなく、注意すべき新たな攻撃に対して従業員の警戒心を維持させるうえでも大きな効果がある
• 調査によれば、組織の59％で幹部がホエールフィッシング攻撃の標的となっており、さらに46％は幹部が被害に遭っている
• 今後はAIを活用し、ホエールフィッシング攻撃の有効性とフィッシング攻撃の規模拡大性を自動で組み合わせた攻撃が行われると予想されている（ハープーンホエーリング）
• 画一的な対策では1つの防御層しか確立できないが、エンドポイントセキュリティソフトウェアとエンドユーザのトレーニング、高度なセキュリティプロトコルを包括的に組み合わせれば多層型の防御体制を構築できる