
ホエールフィッシングについて理解する
ホエール攻撃とは?
別名「CEO詐欺」とも呼ばれるホエール攻撃とは、企業で働く個人を標的にするスピアフィッシング攻撃の一種です。ホエールが一般的なスピアフィッシングと異なるのは、対象となる個人が経営幹部や取締役会メンバーなど組織内の上級幹部のみである点です。
ホエール攻撃はソーシャルエンジニアリングのようなものですか?
一言で言えば、そうです。ホエール攻撃はフィッシングの一種であり、無防備なユーザを騙して、パスワードやアクセストークンなどの秘密の情報やデータを収集するように設計された、ソーシャルエンジニアリング攻撃のサブセットです。
ホエール攻撃はサイバーセキュリティに影響しますか?
ホエール攻撃はソーシャルエンジニアリング攻撃として分類されており、組織のセキュリティ体制に影響を与えることは間違いありません。ホエール攻撃の脅威は、ソーシャルエンジニアリング攻撃などと同様、さまざまな種類があり、脅威アクターの目的や、保護されている(またはこの場合は保護されていない)リソースによって異なります。ホエール攻撃が防御に及ぼす影響については、以下の例を参照してください。
ホエールフィッシング攻撃の例
すべてを網羅しているわけではありませんが、以下にホエール攻撃の実例と、それらが組織のサイバーセキュリティをどのように侵害したかを紹介します。
- 2016年:EUのCrelan Bankの従業員が、同銀行のCEOになりすました電子メールによる依頼を受信し、脅威アクターの銀行口座に7,500万ドルの資金を送金しました。
- 2019年:英国を拠点とするエネルギー会社のCEOが、その親会社のCEOからハンガリーのサプライヤーに243,000ドルを送金するよう電話で依頼されました。この通話は、攻撃者がAIソフトウェアを使ってCEOの声を模倣し、不正に作成したものでした。
- 2020年:オーストラリアのヘッジファンドLevitas Capitalは、ホエールフィッシング攻撃により顧客からの信頼と800万ドルを失い、倒産しました。この詐欺の発端は、偽の請求書を生成する悪意のあるコードを埋め込んだ偽のZoom招待状でした。
ホエールフィッシング攻撃の仕組み
ホエール攻撃の概要
- 偵察:脅威アクターは、経営幹部や上級管理職のターゲットについて広範な調査を行い、説得力のあるなりすましを演じるために必要な詳細を収集します。
- 武器化:必要な情報で武装した脅威アクターは、攻撃の実行に使用する実際のコンテンツを作成。攻撃者は通常、電子メールで接触を図りますが、大規模なビジネスメール詐欺(BEC)の一部として、ホエール攻撃は以下方法でも実行が可能です:
- SMS
- メッセージやソーシャルメディアプラットフォーム
- なりすまし電話
- 送信:メッセージ、大半は緊急を装った内容のメールがターゲットに送信されます。Cレベルの幹部やその他の上級管理職経営幹部からの依頼と見せかけることによって、被害者が直ぐ行動するように急かします。
- 攻撃:攻撃者の要求に応じて、被害者は機密データ、機密性リソースへのアクセスに使用される認証情報を渡したり、システムに侵入し大規模な情報漏洩を起こしたり、資金の移動や送金、「未決済」の請求書に支払うなどのアクションを実行する可能性があります。
- 副次的影響:ホエール攻撃被害の結末は、組織、犯罪の程度、組織に対する法的影響によって大きく異なります。(これについては後ほど詳しく説明します)
ホエール攻撃の標的
前述したように、ホエール攻撃は特定のグループのみを標的としています。具体的には:
- Cレベルの幹部:
- CEO(最高経営責任者)
- CFO(最高財務責任者)
- COO(最高執行責任者)
- CSO(最高戦略責任者)
- CISO (最高情報責任者)
- 取締役会のメンバー
- 上級管理職
- スーパーバイザー
- 取締役
ホエールフィッシング攻撃の影響
ホエール攻撃の潜在的な結果
ホエール攻撃の影響は、組織によって異なり、またさまざまな要因に大きく左右されます。ホエールフィッシング攻撃で最も一般的な結果には、次のようなものがあります:
- 将来の攻撃に備えた、従業員に対するセキュリティトレーニングの義務付け
- 責任者の解雇
- 事業競争力や運用能力の喪失
- 世間の評判や業界における地位の毀損
- 回収が不可能な程の莫大な経済的損失
- 法令違反による民事および/または刑事責任
- 事業の全部または一部廃止
ホエール攻撃の防御
潜在的なホエール攻撃を特定する ためのガイドライン
ホエール攻撃、そしてフィッシング攻撃には、ターゲットをフィッシング(またはホエールフィッシング)しようとしている可能性があることを強く示す明らかな兆候がコミュニケーションの中にありました。
常にそうであるとは限りませんが、以下に、エグゼクティブから次の「至急のリクエスト」を受け取ったときに注意すべきいくつかのガイドラインを示します。これはリクエストが本物なのか、それとも詐欺なのかを判断するのに役立つでしょう:
- 外部メール:多くのメールサービスでは、IT部門が外部ソースから受信したメールにフラグを立てることができます。この設定を有効にしている状態で、CEOまたは上級管理者を名乗る人物から届いたメールに、社外から届いたことを示す通知が示されていたとしたら、組織の社員同士で送受信されるメールは大概外部ではなく内部で処理されるはずであり、念のためそのメールを報告することをお勧めします。
- 緊急性:ほとんどのソーシャルエンジニアリング攻撃は緊急性を煽ります。つまり、攻撃者は(標的が質問を返してきたり、要求を再確認する隙を与えないように)直ぐ行動することを求める筋書きを用意。相手を急かせることがこの種のキャンペーンの成功のカギとなっています。
- 結果:緊急性を煽るには、どのような結果を招くかが重要です。例えば「要求されたアクション をすぐに実行しないと、これが発生します」のような切迫感です。悲惨な結果、脅迫、最後通告、法的措置は、脅威アクターがターゲットを脅迫して被害者にするために使用する主な戦術です。
- 機密性:通信方法は、一見安全で、たとえ暗号化されていたとしても、普通、機密データについて議論したり交換したりするのに十分なほど「安全」とは見なされていません。さらにソーシャルメディアなどのパブリックプラットフォームの場合は尚更です。セキュリティ上の懸念からリクエストを他言しないよう明確に指示しながら、個人情報や認証情報の提供を求めるメールを受信することは、どう考えても疑わしく、最悪の場合、ソーシャルエンジニアリング攻撃の可能性があります。
- リンクと添付:コミュニケーションチャネルは、リンクや添付ファイルを同僚と迅速かつ効率的に共有できるように設計されており、この使いやすさこそが、まさに脅威アクターが詐欺メッセージを作成する際、うまく利用している点です。リンクや添付は「機能」ですが、迂闊に開いてしまうと、かなり悪い結果を招く可能性があります。万が一の場合に備えて、リンクをクリックしたり、添付ファイルをダウンロードしたり開いたりしないことが重要です。
- 確認: あらゆる種類の要求、特に財務に関連する要求、または帯域外で行われた要求は、直接確認する必要があります。少なくとも、アクションを実行する前に、要求者と話して正当な要求であることを確認することは必須です。口座番号や支払い手順を変更する場合は、詐欺の被害に遭うリスクを最小限に抑えるために、厳格なプロトコルを実施する必要があります。
セキュリティ意識と教育の重要性
このセキュリティ問題を解決したり、セキュリティ上の懸念を軽減すると謳われている製品やソリューションは数多くあり、十分に機能するものも多いでしょう。しかしホエール攻撃に関しては「百の治療より一の予防」です。これはフィッシング詐欺、インターネット、そしてパソコンが登場するより遥か昔の1736年、ベンジャミン・フランクリンが残した言葉ですが、
核となるメッセージは、数世紀後の今日にも当てはまります。サイバーセキュリティに関しては、修復よりも予防です。
レイヤードセキュリティ戦略や多層防御のセキュリティ計画と組み合わせることで、特にソーシャルエンジニアリング対策として有効なキーソリューションがいくつかあります:
- 脅威の認識:どの脅威が自分にどのような影響を与えるかさえ分からない場合、脅威から身を守るにはどうすればよいでしょうか? 情報交換、オープンな対話、ITおよびセキュリティチーム向けの専門能力開発講座を通じて、脅威アクターの戦術に精通し、脅威、その進化、仕組み、標的、リソースへの影響、およびそれが自分達の要件にどう当てはまるかを学ぶことは、防御の重要な第一歩です。
- 継続的なトレーニング:補足質問:自分達が直面している最新の脅威が何であるかを知らない場合、従業員はビジネスリソースを保護するために何ができますか?彼らは防御の最前線であるだけでなく、ソリューションにも欠かせない存在です。組織の他のポリシーと並行して定期的にトレーニングセッションを開催することで、脅威の進化に合わせて従業員のセキュリティトレーニングをアップデートし、常に最新の情報を提供し続ける体制を構築します。結局のところ、セキュリティはIT部門だけでなく、すべての人の責任だということを忘れてはなりません。
- セキュアなプロトコルを構築する:これは一般的、あるいは全社的なポリシーとしても適用できますが、このブログの焦点はホエール攻撃であるため、この攻撃のターゲットグループである上級幹部により的を絞ってお勧めします。Cレベルの幹部は、自分達のプライバシーデータに関して、どのようなデータがどこで、誰と共有されるかにもっと注意を払う必要があります。例えば、ソーシャルメディアのプロフィールなど、一般に公開されているWeb サイトでプライバシー制限を有効にすると、一般に公開される個人やビジネスに関する詳細な情報が制限されます。共有される情報が少ないということは、脅威アクターがなりすまし詐欺で被害者に対して利用できるプール内のデータが少なくなることを意味します。
- セキュリティソリューションを進化させる:セキュリティソリューションは大切ですが、COOを名乗る偽者が、すべての従業員記録を含む人事データベースにアクセスできるデバイスへのリモートアクセスを要求し、アクセスが疑う余地なく許可されてしまうと、強力でユニークなパスワードを強制するポリシーを導入していたとしても、機密のビジネスリソースへのアクセスを防ぐことはできません。しかし、APT(高度標的型攻撃)を検出して対応できる エンドポイントセキュリティ保護のレイヤーを追加実装することで、攻撃になかなか気づけず攻撃者がデータを完全に侵害するのに十分な時間を与えてしまうか、あるいは脅威を迅速に特定して修復するかの大きな違いを生み出すことになります。
結論
ホエール攻撃の未来
ホエールフィッシング攻撃は当面続くと予想されます。FBIが「特定された損失が明らかになっただけでも1,300%増加した」と述べる通り、これは憶測などではありません。公的機関はこの増大するフィッシングの脅威から組織をより適切に保護するための対策やガイダンスを引き続き検討を続けています。
Security Magazineは、ホエール攻撃や上級幹部のなりすまし攻撃がいかに顕著であるかについて調査したGreatHornのレポートを基に、「組織の59%が、幹部がホエール攻撃の標的になったことがある」こと、さらに「46%が上級幹部が被害に遭ったことがあると回答している」ことを特定しました。
ホエール攻撃+AI
フィッシング攻撃のスケーラビリティと、ホエール攻撃によるメッセージの影響力の溝を埋めることは、NetfilixドラマMr. Robotで取り上げられた攻撃ベクトルではありません。これは AIを活用したホエール攻撃の未来です。
トレンドマイクロはこれをハープーンホエーリングと呼び「ハープーンホエールとは高度に自動化でき、GPT(Generative Pretrained Transformer)AI言語モデルを使用することで、キュレートされた配布リスト上で非常に高精度な標的型攻撃を同時に行うことができるというメリットがある」と説明しています。これらのリストは「すべての銀行幹部」、「 すべての高位の警察当局者」、「X国のすべての政治家」など、多くの幹部または高官で構成されています。
警戒と教育の推奨
「電子メールだけに頼らないでください。」 — 連邦捜査局
前のセクションで説明した個々のソリューションは、確かにある程度のレベルの保護を提供しますが、セキュアなプロトコルとソリューションを組み合わせたマルチレベルの保護は、高度な脅威の検出と軽減、さらに現行の従業員トレーニングセッションで見過ごされた場合の修復を提供します。
重要ポイントのまとめ
- ホエール攻撃はソーシャルエンジニアリング攻撃の一種で、幹部や取締役など上級メンバーのみを標的としています。
- FBIは、ホエール攻撃を120億ドルの損失を生み出す、組織が最も警戒すべきフィッシング脅威の1つに指定。
- 世界中で実際に発生しているホエール攻撃は、機密情報のデータ侵害、資金の損失、廃業に直結しています。
- なりすまし攻撃の成功率を高めるために、ホエール攻撃では、脅威アクターが企業の幹部に関する情報を収集する際に、オープンソースの大規模な偵察を実施。
- 攻撃は電子メールだけでなく、SMS、メッセージング、ソーシャルメディアプラットフォーム、電話でも行われます。
- 他のフィッシング詐欺同様、被害者を慌てさせ十分な確認を行わず行動するよう仕向けるために、緊急性と悲惨な結果を使って心理を煽ります。
- 従業員トレーニングは、脅威の種類を教えるだけでなく、重要な攻撃タイプの進化に対してユーザの警戒心を維持させる点でも重要な役割を果たします。
- 59%の組織が上級幹部がホエール攻撃の標的になったことがあると回答。さらに46%が経営幹部が被害に遭ったと答えています。
- 未来は、AIを活用してホエール攻撃の有効性とフィッシングのスケーラビリティが自動化され、ハープーンホエーリングの時代に突入すると予想されています。
- 画一的な対応では1つの脅威レイヤーしか阻止できない可能性があります。そこで、エンドポイントセキュリティソフトウェアにエンドユーザーのトレーニング、進化したセキュリティプロトコルを組み合わせて、多層防御を実現します。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。