ホエーリングとは
この記事は約 2 分で読めます
ホエーリング (Whaling) とは、企業の経営層や役員など、組織内で高い権限を持つ 人物を標的にしたフィッシング攻撃です。「大物 (whale) を狙う」ことから この名前がつきました。一般的なフィッシングよりも入念に準備され、 標的の業務内容や人間関係を調査した上で、極めて説得力のある偽メールが 送られます。
ホエーリングの手口
取引先の CEO を装った送金依頼、弁護士を装った機密文書の要求、 税務当局を装った情報提供の要請などが典型的な手口です。 経営層は多忙なため、メールの真偽を十分に確認せずに対応してしまうことがあります。 被害額は数千万円から数億円に及ぶケースもあります。ビジネスメール詐欺の書籍 (Amazon)で事例と対策を学べます。
対策
経営層のアカウントにはパスつく.com で生成した特に強力なパスワードを設定し、 多要素認証を必ず有効にしましょう。送金や機密情報の提供は、メール以外の 経路 (電話、対面) でも確認するルールを設けることが重要です。 経営層向けのセキュリティ研修も効果的な対策です。ソーシャルエンジニアリング対策の書籍 (Amazon)も参考になります。