フィッシングは、2024年にインターネット犯罪苦情センター(新しいウィンドウ)に報告された最も一般的なサイバー犯罪でした。ブログではフィッシングとは何かについて書き、説得力のあるフィッシングメールの例をいくつか紹介しましたが、サイバー犯罪者は利益を最大化するために常に攻撃を調整しています。

フィッシングのより効果的なバージョンは、攻撃者が特定の人々を標的とする場合で、これはホエーリング(捕鯨)またはスピアフィッシングと呼ばれます。フィッシングは個人や企業を標的とすることがありますが、ホエーリングとスピアフィッシングは特に企業内の人々を標的とします。これらの用語の違い、見分け方、および身を守る方法を理解することが重要です。

ホエーリング、フィッシング、スピアフィッシングの違いは何か?

フィッシングは、ハッカーがあなたを騙して機密情報を共有させるために使用する方法です。Amazon、Google、PayPalなどのサービスから、アカウントが凍結されたというような疑わしいメールを受け取ったことがあるなら、あなたはフィッシングの標的になったことがあります。これらの攻撃は広範囲に及び、できるだけ多くの反応を得ることを目的としています。個人のメールアドレスだけでなく、職場のメールアドレスにも届きます。

スピアフィッシングやホエーリング攻撃は、フィッシングと同じ戦術を使用しますが、企業内のターゲットをはるかに小規模で特定のセットに絞って展開します。どちらのタイプの攻撃も大まかにはフィッシングのカテゴリに分類されますが、ハッカーのターゲットが使用する戦術にどのように影響するかを理解する価値はあります。

スピアフィッシングとは?

スピアフィッシングは、フィッシング攻撃に使用されるのと同じ幅広いテクニックを使用し、それを特定の個人に合わせて調整します。スピアフィッシングの標的となる個人は、法務部門や財務部門で働いていることが多く、特に機密性が高く価値のあるデータへのアクセス権を持っています。

Barracuda Networks(新しいウィンドウ)が発表した調査によると、スピアフィッシング攻撃の80%以上にブランドのなりすましが含まれています。同社が3ヶ月間で36万件のフィッシングメールを分析したところ、MicrosoftとAppleが最もなりすましが多いブランドであり、攻撃は火曜日から木曜日にかけて発生する可能性が最も高く、確定申告シーズンなどのイベント前後で急増することがわかりました。詐欺師側のこのレベルの計画性は、彼らがいかに綿密に従業員を研究し、攻撃を計画しているかを物語っています。

レポートによると、スピアフィッシング攻撃で使用される件名のトップ3は、以下のいずれかのバリエーションです。

  1. リクエスト(Request)
  2. フォローアップ(Follow up)
  3. 緊急/重要(Urgent/Important)

件名が緊急性や、差出人とすでに連絡を取り合っているという印象を与えるものであることは驚くべきことではありません。スピアフィッシング攻撃には政治的な動機がある場合もあります。2024年、Microsoftは米国選挙へのイランの干渉に関するインテリジェンス(新しいウィンドウ)を公開しました。大統領選挙キャンペーンの高官を標的とした攻撃を開始するために、元上級顧問のMicrosoft Hotmailアカウントが侵害されました。

ホエーリング(捕鯨)とは?

スピアフィッシングが複数のハイレベルな個人を標的とするのに対し、ホエーリングは…文字通りクジラ(大物)を標的とします。ホエーリングは事実上、CEOやCFOなどの非常に価値のあるターゲットに向けられたスピアフィッシングです。これらの攻撃は高度にパーソナライズされ、綿密に調査されています。サイバー犯罪者は、金銭を稼ぐだけでなく、IPや投資家情報などの機密データへのアクセスを獲得したり、ターゲットを脅迫したり、甚大な風評被害をもたらしたりする可能性があります。

ホエーリング攻撃は、効果的に計画するために数ヶ月、場合によっては数年かかります。犯罪者は、混乱に乗じるために、激動のイベントの最中にある企業を標的にします。2015年、攻撃者はMattelが組織再編と支払いポリシーの変更を行っている最中に、巧妙なホエーリング攻撃(新しいウィンドウ)で同社のCレベル幹部を標的にしました。ある財務担当役員は、Mattelが進出を図っていた中国の新しいベンダーへの支払いを要求するメモを、同社の新CEOから受け取りました。支払いポリシーの変更に伴い、送金にはMattel内の2人の高ランクのマネージャーの承認が必要だったため、宛先である彼女は承認を与え、送金が行われました。お金がなくなった後になって初めて、その役員は新CEOに支払いのことを話しましたが、CEOはそのような要求をしていませんでした。

5月1日が中国の銀行の祝日だったおかげで、Mattelは盗まれた資金が入っていたアカウントを凍結することができ、お金は2日以内に回収されました。しかし、この高度に標的を絞った攻撃は、たった1通のメールでMattelに300万ドルの損害を与える可能性がありました。

ホエーリングとスピアフィッシングの比較

これら3種類の攻撃の違いを要約すると次のようになります。

フィッシング一般的な攻撃ですべての人を標的にする
スピアフィッシング特定の攻撃で特定の人々を標的にする
ホエーリングパーソナライズされた攻撃でVIPやビジネスリーダーを標的にする

ターゲットの特殊性によって、各攻撃に費やされる調査とターゲティングの量が決まります。しかし、攻撃の種類にかかわらず、ハッカーが計画と実行のために従うプロセスは似ています。

ホエーリングやスピアフィッシング攻撃のプロセスとは?

  1. 偵察:ハッカーは、ターゲットが反応しそうなきっかけのプロファイルを作成するために、オンライン上のプレゼンスを調べることでターゲットを調査します。これには、ソーシャルメディアのプロフィール、ビジネスのウェブサイト、およびターゲットがオンラインで登場する可能性のあるその他の場所が含まれます。また、個人情報を取得するために、データブローカーダークウェブを使用することもあります。
  2. 餌の作成:次に、ハッカーは攻撃の計画を立てます。彼らは、同僚、サードパーティのサービス、または政府機関になりすまして、ターゲットを信じ込ませるように設計されたメールを作成します。おそらくビジネス内でより広範囲にフィッシングを行うことで、ターゲットを騙すためにできるだけ多くの情報を収集します。
  3. 配信:攻撃者は、調整されたメールをターゲットに送信します。請求書のように見え、悪意のあるウェブサイトへのリンクを含み、読者に支払いの詳細を入力させようとしたり、ビジネスのIT部門からのログインやパスワードの要求のように見えたりする可能性があります。
  4. エクスプロイト:メールには、マルウェアやランサムウェアがロードされていたり、なりすましサイトにリンクしていたり、認証情報、機密情報、または支払いを求めたりする可能性があります。ハッカーが一度アクセス権を獲得すると、バックドアアクセスを確立して自分自身に管理者権限を与えるなど、ネットワークを悪用する方法は複数あります。
  5. 影響:攻撃が成功した場合、ハッカーはさらなるアクセスのためにフィッシングを続けるか、取引の開始、データのダウンロード、またはアカウントの乗っ取りを開始します。会社は、金銭的損失、データ侵害、風評被害、またはそのすべてに直面します。

攻撃にはさまざまな形態があるため、常に警戒することは困難です。一般的に、役職が高くなるほど、またはアクセスできるデータの機密性が高くなるほど、確認が重要になります。

攻撃から身を守るにはどうすればよいか?

サイバー攻撃から身を守るには2つの部分があります。ビジネスインフラとあなた自身の意識です。

まず、個人的に何ができるかを見てみましょう。

  • 信頼せよ、されど確認せよ。支払いに関する要求や機密データへのアクセス許可に関する要求を受け取った場合、その要求を送信したとされる人物と話をすることが最善の策です。その人に会ったことがある場合は、電話するか直接会って、要求が正当なものであることを確認してください。会ったことがない場合は、コネクションのある同僚やそのビジネスの上位者など、信頼できるチャンネルを通じてユーザー情報を確認してください。
  • 緊急性に押されて間違いを犯さない。詐欺師は偽の緊急性を利用して、迅速な決定を下すよう促します。要求を確認するのを待って後悔することはありませんが、確認しなかったことを後悔する可能性はあります。
  • 差出人のメールアドレスをよく確認する。ハッカーが正当な差出人からメールが来ているように見せる場合、これはメールスプーフィングと呼ばれます。ドメイン名が正しいか、メールアドレス自体にスペルミスがないかを確認してください。メールスプーフィングから身を守る方法について詳しく調べてください。

  • フィッシング攻撃のリスクについてチームを教育する。たった1回の成功したフィッシングメールが、ビジネスに壊滅的な結果をもたらす可能性があります。

潜在的な脅威を認識することは、受け取るすべてのメールを疑うという意味ではありませんが、自分自身と職場の両方を守るための措置を講じることを確実にするという意味です。

Protonがリスク軽減にどのように役立つか

職場を守るためのもう1つの効果的な方法は、データの制御を維持するのに役立つ、安全でエンドツーエンド暗号化されたツールを採用することです。

  • Proton Passは、ビジネスパスワードを作成、保存、管理するのに役立つ安全なパスワードマネージャーです。チームが認証情報を安全に共有できるようにすることで、ログインやデータの不正な要求を全員が特定するのに役立ちます。誰かがパスワードをProton Passで安全に共有するのではなくメールで送るよう求められた場合、その要求を疑わしいとしてフラグを立てることができます。また、データがダークウェブに表示された場合に即座にアラートを受け取り、フィッシングの試みを防ぐための行動を取ることができます。
  • Proton Mailは、ビジネスメールを保護する安全なメールとカレンダーです。高度なフィッシング保護機能PhishGuardは、なりすましの可能性のあるメールアドレスにフラグを立てることで、フィッシングの試みからあなたを守ります。疑わしいログインやアカウントの変更は自動的に特定され、あなたにフラグが立てられます。また、リンク保護により、開く前に完全なURLを確認できるため、誤ってフィッシングリンクを開くのを防ぐことができます。

ホエーリング、スピアフィッシング、フィッシング攻撃から自分自身とビジネスを守る準備ができているなら、どのProtonプランが最適か、今すぐ確認してみましょう。