Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

ホエーリング: あなたの会社のトップ幹部を狙うサイバー攻撃

ホーム 用語集 ホエーリング: 企業のトップエグゼクティブを狙うサイバー攻撃

ホエーリングとは、組織内で機密情報や財務資源にアクセスできる高レベルのエグゼクティブや個人を標的とするサイバー攻撃の一種です。この種のサイバー攻撃は「CEO詐欺」や「ビジネスメール詐欺」とも呼ばれます。

この攻撃は、組織内で意思決定権を持つ個人を特に狙うため、従来のフィッシング攻撃よりも高度です。ホエーリング攻撃は、ターゲットを騙して機密情報を漏らさせたり、不正な口座に資金を送金させたりするために、フィッシングメールなどのソーシャルエンジニアリング戦術を使用します。

ホエーリング

ホエーリング攻撃に関与するサイバー犯罪者は、CEO、CFO、その他の高位エグゼクティブなど、信頼できる情報源からのように見えるリアルなメールを作成するなど、さまざまな戦術を用いてターゲットを騙します。これらのメールは、企業のロゴやメール署名を含むことが多く、ターゲットが詐欺を見抜くのを困難にします。

ホエーリング攻撃は、企業に大きな財務的損失と評判の損害を引き起こす可能性があります。最近のNetwrixのレポートによると、フィッシングは最も一般的な攻撃ベクトルであり、回答者の73%がオンプレミスで、58%がクラウドでこの種のサイバー攻撃を経験し、推定5万ドルの財務的損害を含む深刻な結果をもたらしています。

したがって、組織は包括的なサイバーセキュリティリスク管理戦略を導入し、従業員にこれらの攻撃を識別し回避する方法についてのトレーニングを提供することが不可欠です。

この記事では、ホエーリングサイバーセキュリティのさまざまな側面を議論し、これらの危険な攻撃からエグゼクティブとビジネスを守るためのヒントを提供します。

ホエーリング攻撃はどのように機能するのか?

ホエーリング攻撃は通常、攻撃者がターゲットのメールアドレス、組織内の地位、組織構造などの情報を収集することから始まります。攻撃者はまた、ターゲットのソーシャルメディアアカウントを調査して、個人の生活や興味についての知見を得ることもあります。

攻撃者が十分な情報を得たら、信頼できる情報源、例えば同僚、上司、顧客からのように見えるフィッシングメールを作成します。メールには、ターゲットに即座の行動を求める緊急の言葉が含まれることが多く、不正な口座への資金送金や機密情報の開示を求めることがあります。

メールには、法的または財務的な結果を招く可能性があると示唆するなど、ターゲットに即座の行動を促す緊急性や恐怖感も含まれます。場合によっては、攻撃者は一連のメールや電話を通じてターゲットとの関係を築くなどのソーシャルエンジニアリング戦術を使用することもあります。

場合によっては、メールにリンクや添付ファイルが含まれており、クリックすると受信者のデバイスにマルウェアやランサムウェアがインストールされ、攻撃者が機密コンテンツにアクセスしたり、ターゲットのデバイスを制御したりすることができます。

ホエーリング攻撃は非常に高度で、攻撃者はターゲットについての広範な調査を行い、攻撃のための説得力のあるストーリーや口実を作成します。彼らは、ソーシャルメディアのプロフィールなどの公開情報を使用して、ターゲットの個人および職業生活についての洞察を得て、説得力のあるメッセージを作成しやすくします。

フィッシングとホエーリングの違いは何ですか?

フィッシングとホエーリング攻撃はどちらもソーシャルエンジニアリングの一形態ですが、両者にはいくつかの重要な違いがあります。フィッシング攻撃は通常、多くの個人を対象にして、少数の人々を騙して機密情報を提供させたり、金融取引を完了させたりすることを目的としています。一方、ホエーリング攻撃は非常にターゲットを絞っており、組織内で重要な財務情報や機密情報にアクセスできる個人、例えば高レベルのエグゼクティブやCEOを対象としています。フィッシング攻撃は一般的にテンプレートを使用しますが、ホエーリング攻撃は通常、信頼できる情報源からのように見えるように個別に作成されます。

ホエーリング攻撃の構造

ホエーリング攻撃は通常、事前攻撃、攻撃、事後攻撃の3つのフェーズで構成されます。

ホエーリング攻撃フェーズ1: 事前攻撃

事前攻撃フェーズでは、攻撃者がターゲット組織についての情報を収集し、潜在的な被害者を特定するための偵察を行います。これには、組織の構造を調査し、高レベルのエグゼクティブを特定し、ターゲット個人についての情報を得るためにソーシャルメディアやその他のオンラインソースを監視することが含まれます。

ターゲット個人に対する事前攻撃偵察

攻撃者はまた、ターゲット個人についての偵察を行い、職位、メールアドレス、ソーシャルメディアアカウントなどの情報を収集します。この情報は、攻撃を個別化し、より説得力のあるものにするために使用されます。

事前攻撃ターゲット特定

攻撃者が十分な情報を収集したら、ターゲット個人を特定し、攻撃フェーズを開始します。

ホエーリング攻撃フェーズ2: 攻撃フェーズ

攻撃フェーズでは、攻撃者は通常、ソーシャルエンジニアリング戦術を使用して、被害者に機密情報を提供させたり、金融取引を行わせたりします。

攻撃者が最初の接触を行う

攻撃者は、同僚やビジネスパートナーなどの信頼できる情報源を装って、メールを通じて被害者に最初の接触を行うことがあります。メールには、被害者の個人情報が含まれており、より正当なものに見せかけます。

攻撃者が信頼を築く

攻撃者は次に、被害者に信頼を築くために、フラッタリーや説得などのソーシャルエンジニアリング戦術を使用し、被害者が要求に応じやすくなるようにします。

攻撃者が機密情報を要求する

最終的に、攻撃者は機密情報や金融取引を要求します。これは、ワイヤートランスファー、ログイン資格情報の要求、社会保障番号やその他の識別情報などの個人情報の要求の形を取ることがあります。

ホエーリング攻撃フェーズ3: 事後攻撃

攻撃者が望む情報を得たり、金融取引を完了した後、事後攻撃フェーズに入ります。

攻撃者が情報を悪用する

情報悪用フェーズでは、攻撃者は得た情報を使用して、アイデンティティ盗難、金融詐欺、その他の悪意のある活動を含む目的を達成します。

攻撃者が痕跡を隠す

検出を避けるために、攻撃者は攻撃の証拠を削除したり、暗号化やその他の技術を使用して活動を隠すことがあります。

ホエーリング攻撃の種類

エグゼクティブを騙して機密情報や資格情報を提供させる方法はたくさんあります。ここでは、一般的なホエーリング攻撃の5つのタイプを紹介します:

ホエーリング攻撃タイプ1: CEO詐欺

このタイプの攻撃では、攻撃者がCEOや他の高レベルのエグゼクティブを装い、従業員にワイヤートランスファーやその他の金融取引を要求するメールを送信します。メールは緊急性を帯びており、CEOの実際のメール署名やその他の識別情報を使用して、より正当なものに見せかけることがあります。

ホエーリング攻撃タイプ2: 請求書詐欺

請求書詐欺では、攻撃者が従業員に偽の請求書や請求書を送信します。通常、会社が定期的に取引しているベンダーやサプライヤーからのものです。メールは正当なものに見せかけるために、実際のベンダーのウェブサイトに一致するブランドやロゴを使用することがあります。目的は、従業員を騙して偽の請求書を支払わせたり、攻撃者の口座に資金を送金させたりすることです。

ホエーリング攻撃タイプ3: ギフトカード詐欺

ギフトカード詐欺では、攻撃者が従業員にメールを送り、高レベルのエグゼクティブや人事担当者を装ってギフトカードの購入を要求します。メールは緊急性を帯びており、ソーシャルエンジニアリング技術を使用して、要求が正当であると従業員に信じ込ませることがあります。従業員がギフトカードを購入すると、攻撃者はその資金を自分の目的に使用できます。

ホエーリング攻撃タイプ4: W-2詐欺

W-2詐欺では、攻撃者がCEOや人事担当者を装い、従業員のW-2フォームのコピーを要求するメールを送信します。攻撃者はこの情報をアイデンティティ盗難やその他の悪意のある目的に使用することができます。

ホエーリング攻撃タイプ5: フィッシング

ホエーリング攻撃は、銀行やサービスプロバイダーなどの正当な情報源からのように見えるメールを送信し、パスワードやアカウントの詳細などの機密情報を要求する、より伝統的なフィッシング攻撃の形を取ることもあります。目的は、受信者を騙してログイン資格情報を提供させ、攻撃者が機密情報に不正アクセスできるようにすることです。

ホエーリングサイバーセキュリティ攻撃で使用される一般的な戦術

ホエーリング攻撃は多くの形を取ることができますが、ターゲットの信頼を得るために何らかの形のソーシャルエンジニアリングを含むことが多いです。ここでは、ホエーリングサイバーセキュリティ攻撃で使用される5つの一般的な戦術を紹介します:

ホエーリング攻撃戦術1: スピアフィッシング

ホエーリング攻撃は、攻撃者が同僚やビジネスパートナーなどの信頼できる情報源からのように見える個別のメールを送信するスピアフィッシングを含むことが多いです。メールには、受信者の名前や職位などの個人情報が含まれており、より正当なものに見せかけます。

ホエーリング攻撃戦術2: ソーシャルエンジニアリング

ホエーリング攻撃は、被害者を操作して望ましい行動を取らせるために、ソーシャルエンジニアリング戦術を使用することもあります。例えば、攻撃者は「緊急」や「時間制限」などのフレーズを使用して、被害者に迅速に行動させ、要求を疑問視させないようにすることがあります。

ホエーリング攻撃戦術3: スプーフィングされたメールアドレス

攻撃者は、メールがCEOや他の高レベルのエグゼクティブなどの正当な情報源からのように見えるように、スプーフィングされたメールアドレスを使用することがあります。また、正当な企業や組織のメールドメインに非常に似たものを使用することもあります。

ホエーリング攻撃戦術4: なりすまし

一部のホエーリング攻撃では、攻撃者が組織内の高レベルのエグゼクティブや他の信頼できる個人になりすますことがあります。彼らは、ソーシャルメディアやその他の情報源から得た情報を使用して、なりすましをより説得力のあるものにします。

ホエーリング攻撃戦術5: マルウェア

ホエーリング攻撃は、キーロガーやリモートアクセス型トロイの木馬(RAT)などのマルウェアを使用して、被害者のコンピュータやその他のデバイスにアクセスすることも含まれます。攻撃者はこのアクセスを使用して、機密情報を盗んだり、被害者のコンピュータを制御したりすることができます。

なぜ組織はホエーリング攻撃を真剣に受け止める必要があるのか

これらの攻撃は非常に高度で、企業にとって壊滅的な結果をもたらし、重大な財務的損失や評判の損害を引き起こす可能性があります。ホエーリングフィッシングを真剣に受け止めるべき理由はいくつかあります:

ターゲット攻撃: ホエーリング攻撃は、重要な情報にアクセスできる、または財務資源を管理する特定の個人を対象としています。攻撃者は、被害者を騙して機密情報を漏らさせたり、資金を送金させたりするために、被害者の調査と説得力のあるメッセージの作成に多大な時間と労力を投資します。

高い成功率: ホエーリング攻撃は、被害者を騙して要求が正当であると信じ込ませるように慎重に設計されているため、高い成功率を持っています。攻撃者は、ソーシャルエンジニアリング技術を使用したり、信頼できる連絡先になりすましたりして、被害者の信頼を得て、望ましい行動を取らせることがあります。

財務的影響: ホエーリング攻撃は、組織にとって重大な財務的損失をもたらす可能性があります。攻撃者は多額の資金を要求したり、貴重なデータを盗んだりすることがあり、それはブラックマーケットで販売されたり、悪意のある目的で使用されたりすることがあります。

評判の損害: ホエーリング攻撃は、ターゲット組織の評判にも損害を与える可能性があります。顧客は、会社がデータや財務資源を保護する能力に対する信頼を失い、ビジネスの損失や潜在的な法的および規制上の結果を招く可能性があります。

コンプライアンスの問題: 企業は、ホエーリングベースの攻撃を経験した場合、PCI DSS、HIPAA、GDPRなどのデータ保護法やその他の関連法規に基づく罰則や罰金を受ける可能性があります。この種の攻撃は、コンプライアンス要件の違反と見なされます。

ホエーリング攻撃の危険性に関する高レベルの意識向上トレーニング

高レベルのエグゼクティブや他の従業員にホエーリング攻撃の危険性について教育することは、これらの攻撃が成功するのを防ぐために重要です。攻撃者が使用する一般的な戦術を含め、フィッシングやホエーリング攻撃を識別する方法についてのトレーニングを提供することから始めます。信頼できる情報源からのように見える場合でも、機密情報や金融取引の要求を確認することの重要性を強調します。不正アクセスを防ぐために、強力なパスワードと多要素認証の使用を奨励します。最後に、ホエーリング攻撃の被害者になることの潜在的な結果、財務的損失、評判の損害、法的責任を理解させます。

Kiteworksはホエーリング攻撃から企業を守るのに役立ちます

Kiteworksのプライベートコンテンツネットワークは、潜在的に壊滅的なホエーリングサイバー攻撃のリスクを軽減することを可能にします。

Kiteworksは、多要素認証を使用して機密コンテンツへのアクセスを防ぎ、従業員アカウントに追加のセキュリティ層を追加し、不正アクセスのリスクを軽減します。さらに、Kiteworksはセキュアなメールプラットフォームとメールフィルタリング機能を提供し、既知のフィッシングおよびホエーリングドメインからのメールを識別してブロックし、攻撃のリスクをさらに軽減します。

その他の機能として、強化された仮想アプライアンス、組み込みのアンチウイルス保護と侵入検知システム(IDS)、TLS 1.2の転送中の暗号化と保存中のAES-256、その他多くの機能があり、ホエーリング、フィッシング、その他のサイバー脅威から共有する機密コンテンツを保護します。

Kiteworksが提供するデータセキュリティ対策は、サイバーセキュリティ成熟度モデル認証(CMMC)、NISTサイバーセキュリティフレームワーク(NIST CSF)、国際武器取引規則(ITAR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)など、さまざまなデータプライバシー規制や基準に対するコンプライアンスを企業が証明するのにも役立ちます。

Kiteworksについて、またエグゼクティブがホエーリング攻撃の被害者になるのを防ぐ方法について詳しく知りたい方は、カスタムデモをスケジュールしてください。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks