ホエーリングとは、スピアフィッシング攻撃を使用して、経営幹部レベルなどにある著名な人物をターゲットとして狙う際によく使われるサイバー攻撃です。悪意を持つ攻撃者は、役員や幹部レベルの従業員(広報担当者など)が通常のスパムの手口に精通している可能性があることを知っています。プロフィールが公開されていることから、高度なセキュリティ認識トレーニングを受けている可能性があり、セキュリティチームがより厳格なポリシーや高額なツールにより保護している可能性があります。このため、こういったターゲットにフィッシング攻撃を仕掛けようとする攻撃者は、従来から実証されているやり方ではなく、より洗練された的を絞った方法を画策しています。
よく知られたターゲットに対するホエーリング攻撃が成功するためには、他のフィッシング攻撃と同様にターゲットを納得させる必要があり、緊急な案件を装っていることが多くあります。目的としては、例えば、受けとる側に無用の行動をとらせ、電子送金させたり、マルウェアをインストールするリンクをクリックさせたり、添付ファイルを開かせたり、合法なウェブサイトを装った悪意のあるウェブサイトにアクセスさせたりすることなどがあげられます。目的は、認証情報のような機密情報をキャプチャすることで、攻撃者は会社の知的財産、顧客データ、またはブラック市場で販売した場合に有益となるその他情報にアクセスできるマスターキーを得ることになります。
よくあるフィッシング攻撃の手口に対する認識が高まるにつれ、攻撃者は的を絞り、メールが正当なものであると受信者が錯覚して行動をおこすような詳細な情報が含まれたメッセージを送信するようになっています。これまでよりも的を絞ったフィッシング攻撃の方法は一般にスピアフィッシングと呼ばれています。攻撃者が有名な人物をフィッシング攻撃のターゲットにした場合、その攻撃はホエーリング攻撃になります。
広報担当者や経営幹部レベルなどホエーリング攻撃の対象になりやすいターゲットは、その職務上、攻撃者が収集して不当に利用できるような公開情報が多くあります。勤務年数が長いことから、社内データへのアクセスも平均的な従業員よりも多い可能性があります。社内認証情報を通じてより多くの機密情報を利用できる立場にあり、場合によっては管理者の特権もある程度持っている可能性があります。1つの組織においてホエーリングできる可能性があるターゲットの人数は従業員数全体と比べると非常に少ないものですが、その危険性の度合ははるかに高くなります。
過去に成功したホエーリング攻撃とフィッシング攻撃に多く見られる経緯には、根本的にあまり大きな違いはありません。メッセージには非常に緊急性があり、重大な被害を発生させる可能性があると思われるもので、受けとる側は迅速に対処しなければならないと考え、通常のセキュリティ上の慣行から外れてしまいます。ホエーリング攻撃用メールを書く側の加害者は、期限切れのリマインダーや上司からの仰々しいメールだけでは受け取る側を説得できないことを知っています。このため、法的行動や評判が損なわれる可能性など人々の恐れを利用します。
ホエーリング攻撃を企てたある事例では、複数の業界で多くの企業幹部が罠にかかりました。それは彼ら自身と所属する企業の正確な情報が記載されたメールで、民事訴訟の起訴陪審前に出頭するよう書かれた召喚状が添えられた米国の地方裁判所からのメールに見せかけたものでした。メールには召喚状へのリンクが含まれており、受信者がクリックするとマルウェアに感染するしくみでした。
経営幹部その他のホエーリング攻撃の対象となりやすいターゲットへのアドバイスは、フィッシング攻撃に対抗するための一般的な予防および保護アドバイスと同じです。メール内のリンクをクリックしたり添付ファイルを開ける際には注意することです。どんな種類のものであれ、フィッシング攻撃は受け取り側が行動を起こさない限り成功しません。
組織は、ホエーリング攻撃に特化したベストプラクティスを実践することで自社の防御を強化し、ホエーリング攻撃のターゲットとなる可能性のある人々を教育できます。
最初に、広報を担当する従業員が経営幹部について共有する情報の種類を認識してください。ソーシャルメディアなどのサイトを通じてオンラインで簡単に見つけることができる細かな情報は、誕生日や出身地から趣味やスポーツにいたるまで、すべてがホエーリング攻撃用のメールを正当なものに見せかけるために利用される可能性があります。主要な公開イベントも、ホエーリング攻撃用のメールを正当なものに見せかけるために役立ちます。経営幹部や広報担当者には、大規模な業界の会議や企業イベントなど報道される機会が多くある期間には様々な方法で注目を浴びることになるため、受信メールに特に注意を払うように伝えてください。
次に、「信頼しているが検証もする」というメール文化を組織全体で育成してください。あらゆるレベルの従業員に対して、普段とは異なる通信チャンネルから予期しない緊急のメッセージを受け取った場合は送信者と直接話したり、電話したり、テキストを送信したりするなどしてその真正性を検証するように促し、経営陣や上級幹部には模範を示してもらうようにしてください。
最も重要なのは、フィッシング攻撃に対する認識を高めるトレーニングプログラムを実施することです。プログラムは上級幹部や広報担当従業員を特に対象とした、彼らが受信する可能性のあるホエーリング攻撃メールに関する内容にします。多様なフィッシング攻撃認識プログラムを設けることで、ホエーリング攻撃を防ぐために重要な原則を伝えられるだけでなく、従業員が安全にこれらのスキルをテストすることができます。トレーニングツール内の安全な環境の中でシミュレーションされたホエーリング攻撃を時々実施して、可能性のあるフィッシング行為を見つける従業員のスキルを絶え間なく磨き、特に失敗から学ぶことに焦点を当てることができます。