「ホエーリング」とは?フィッシングと何が違う?

2016年2月18日

昨年の12月下旬、サイバーセキュリティ関連のメディアが取り上げるキーワードとして、「ホエーリング」がにわかに急上昇しました。以前から存在する用語ですが、目にする機会は「フィッシング」ほどではありません。お察しの方も多いと思いますが、「ホエーリング」とは特別な種類のフィッシングです。では、どう特別なのでしょうか?

main

ホエーリングがにわかに注目を浴びたきっかけは、ある調査結果です。Mimecast社のセキュリティエキスパートが昨年12月、数千人のIT専門家を対象に調査を実施したところ、目立った「ホエーリング」の波が企業を襲っていることが判明しました(英語記事)。これはフィッシング攻撃の一種で、最高経営幹部や企業トップに標的を絞っています。まさに「大魚」というわけです。

フィッシング(Phishing)とは、釣り(Fishing)になぞらえた呼び名です。もちろん、クジラ(ホエール)は「魚」ではありませんが、そこは大した問題ではありません。フィッシングとホエーリングの違いは、現実世界の釣り(フィッシング)と捕鯨(ホエーリング)の違いとほぼ似たようなもので、小さな標的を大量に狙うか大きな標的を1つ狙うか、網を使うか「銛」を使うか、といったところです。

大魚

「ホエーリング」の標的はほとんどが重役で、最高経営責任者(CEO)や最高財務責任者(CFO)といったトップレベルの幹部、高位の意思決定者、企業のデータや財務に責任を負う人たちです。

こうした企業幹部が一般的な「大量送信」されるフィッシングメールにだまされる可能性は小さく、幹部に対する攻撃には「特別なもの」が使われるのが普通です。

銛を打ち込む

一般的にフィッシングメールとは、全世界に向けて大量に送信され、受け取った人のごくわずかでも引っかかればいい、というものです。一方ホエーリングの場合は、受け取る人が信じてしまうようなもっともらしいスピアフィッシングメールを巧妙に作成し、標的を絞り込んで送りつけます。

そのようなメールを書き上げるには、もちろん手間がかかります。標的に怪しまれたり、読むのを後回しにされたりする可能性を、最小限に抑えなければなりません。そのため「ホエーリング」メールでは、送る側と受け取る側の地位(肩書きや役職など)だけでなく、場合によっては個人的なことまで、こまごまと正確に記述する必要があります。

こうした細かい情報は、可能な限りどんなところからでも探り出されます。おそらくオープンソースやセミオープンソースで探しているのでしょう。たとえばFacebook、LinkedIn、TwitterなどのSNSのアカウントです。

ホエーリングでは、技術的な手口よりもソーシャルエンジニアリングの手口が使われる傾向にあります。何らかの全社的な(個人的でない)問題が起きているとしたら(召喚状や税務署からのメールが届いた、など)、意思決定者はかなりの確率で罠にかかってしまうでしょう。

攻撃者からのメールには、「召喚状」の全文を読むために別のソフトウェアをダウンロードする必要があると書かれている場合があります。実際にダウンロードされるのは、なじみのないAdobe Acrobatプラグインではなく、キーロガー型のマルウェアです。公的な文書が特殊なファイル形式で送られてくることはほぼあり得ないのですが、こういう手口にだまされてしまう場合もあるのです。

2008年、大きく報じられたフィッシング(というよりホエーリング)攻撃がありました。米国内の文字どおり何千何万という重役たちが、サンディエゴ連邦地方裁判所から送付されたとされる「公式の召喚状」を受け取った事件です。1通1通に重役の氏名、会社名、電話番号が記載されており、民事訴訟の大陪審の前に出廷するよう命じる内容でしたが、標的が受け取ったのは召喚状ではなく、キーロガーでした(英語記事)。

魚は大きくても違いは小さい

つまるところ、ホエーリングはやはりフィッシングの一部です。ソーシャルエンジニアリングとの関連性は高いものの、今のところは一般的なフィッシング対策が有効です。詐欺メールと正規メールを見分ける人間の能力に敵うものはありませんが、それを補う技術的な対策とセキュリティのテクノロジーも有用です。こうした技術の活用によって、メッセージに有害なものが含まれているかどうか、メールに書かれたリンク先は危険なのか安全なのかを、素早く正確に確認することができます。

どうかお気を付けて!