Whaling Attacks - Phishing That Targets Executives

About 2 min read

ホエーリング (Whaling) とは、企業の経営層や役員など、組織内で高い権限を持つ 人物を標的にしたフィッシング攻撃です。「大物 (whale) を狙う」ことから この名前がつきました。一般的なフィッシングよりも 入念に準備され、標的の業務内容や人間関係を調査した上で、極めて説得力のある 偽メールが送られます。

現場での使用例

「 CEO を装ったメールで経理部長に 3,000 万円の緊急送金を指示する ホエーリング攻撃を受けました。送金直前に電話で本人確認を行うルールが 機能し、被害を未然に防いでいます。」

ホエーリングの手口

取引先の CEO を装った送金依頼、弁護士を装った機密文書の要求、 税務当局を装った情報提供の要請などが典型的な手口です。 経営層は多忙なため、メールの真偽を十分に確認せずに対応してしまうことがあります。 FBI の報告によると、 BEC (ビジネスメール詐欺) の被害総額は 2024 年時点で 年間 29 億ドルを超えており、 1 件あたりの被害額は数千万円から数億円に 及ぶケースもあります。 AI を活用した音声合成で経営者の声を模倣する 手口も 2024-2025 年にかけて報告されています。business email compromise books on Amazonで事例と対策を学べます。

スピアフィッシングとの違い

スピアフィッシングが特定の個人や 組織を狙う標的型攻撃の総称であるのに対し、ホエーリングはその中でも 特に経営層や高い決裁権限を持つ人物に絞った攻撃です。スピアフィッシングでは マルウェアの添付やログイン情報の窃取が主な目的ですが、ホエーリングでは 直接的な送金指示や機密情報の提供を求めるケースが多く、 1 件あたりの 被害額が桁違いに大きくなります。ソーシャルエンジニアリング対策の 中でも最優先で取り組むべき領域です。

対策

経営層のアカウントには特に強力なランダムパスワードを設定し、 多要素認証を必ず有効にしましょう。送金や機密情報の提供は、メール以外の 経路 (電話、対面) でも確認するルールを設けることが重要です。 経営層向けのセキュリティ研修も効果的で、実際の攻撃メールを模した 訓練を定期的に実施している企業では被害率が大幅に低下しています。フィッシング対策の基本も 合わせて確認しましょう。social engineering defense books (Amazon)も参考になります。