Articles

ホエールフィッシング。 ホエールフィッシングとは何か」

サイバー犯罪者は、報酬が大きければ大きいほど良いという点でトレジャーハンターに似ている。 大きな報酬には大きなリスクが伴うが、それを得るにはより多くのスキルが必要であり、極悪人にはより多くの自慢できる権利があることを意味する。 フィッシング詐欺で鯨を捕まえるほど、大きな報酬はありません。

組織内でより多くのアクセス権や認知された権力を持つ人ほど、サイバー犯罪者がその資格情報を盗もうとする可能性が高くなります。

企業の経営陣の一員であるということは、標的型フィッシング攻撃のリスクをより多く抱えているということであり、この種の攻撃とそれを防ぐ方法についてできるだけ多く知っておくことが重要である。

フィッシングとは

フィッシングとは、サイバー犯罪者が個人情報(クレジットカード番号やログイン情報など)を取得するために使用する手法で、正規の送信元からのメールに見せかけ、不正なリンクをクリックしたりマルウェアが混入している可能性のある添付ファイルをダウンロードさせたりするために、そのようにデザインされたメールを送信することです。

フィッシャーは通常、銀行、クレジットカード会社、または人気のある Web サイトなど、ユーザーが信頼する人物から来たように見える偽のメールを作成します。

フィッシング攻撃は、自宅やオフィス、電話、テキストメッセージなどでも行われるため、使用しているデバイスに関係なく、警戒を続けることが重要です。

ホエールフィッシングとは

ホエールフィッシングは、企業の経営幹部を狙った高度な標的型フィッシング攻撃の一種である。

スピアフィッシングが通常従業員や中小企業(「魚」)をターゲットにしているとすれば、ホエールの「魚」は、組織のハイレベルなメンバーという「大物」です。 彼らの注意を引くために、電子メールは法的な脅威や重要な苦情であるように見えるかもしれません。

ホエーリングの犯罪者の目標は、他のフィッシング攻撃と同じで、個人を騙して組織のネットワーク侵入に使用できる機密情報を明らかにさせることです。

ホエールフィッシングから組織を守るには?

ホエールフィッシングは、他のメールフィッシング攻撃と同じ方法で防ぐことができます:

  • メール内のリンクにマウスオーバーして、クリックする前に宛先を確認する。
  • 「今すぐ行動しなければならない」といった扇情的な件名のメールや、本文中に専門外のスペルミスがある怪しいメールは削除する。
  • 添付ファイルは信頼できる送信元からのみ開く。
  • 疑わしい場合は、送信者に電話で連絡して、メールを送信したかどうかを確認する。

クジラ型フィッシング攻撃は企業のトップがターゲットなので、役職に応じたセキュリティ意識向上トレーニングを行い、役職ゆえに直面する特定の種類の攻撃を認識することが重要です。

フィッシング・シミュレーションキャンペーンを実施し、手本を見せて教えることもこれらの攻撃を防ぐのに役立ちます。 Inspired eLearningのフィッシング対策シミュレーター「PhishProof™」の詳細はこちら