ホエーリングの実例と最悪の結果を回避する方法

「ホエーリング」は「フィッシング」として知られるサイバー犯罪の一類です。

非特定の個人を標的とする通常のフィッシング詐欺とは異なり、「ホエーリング攻撃」は、組織の上級ランク（が関与するフィッシングの一種です。 会社の偉い人を真似するからこそ「ホエール」、日本語だとすると「鯨」となります。これには通常、メールテキストを信頼できるものにし、ターゲットの注目を集めるためのソーシャルエンジニアリングが含まれます。

一般的にフィッシングメールとは、全世界に向けて大量に送信され、受け取った人のごくわずかでも引っかかればいい、というものです。一方ホエーリングの場合は、受け取る人が信じてしまうようなもっともらしいスピアフィッシングメールを巧妙に作成し、標的を絞り込んで送りつけます。（Kaspersky 2022）

上記の定義は、確かな例がなければ曖昧すぎるかもしれません。 そしたら、これでは私自身の経験であるのホエーリング攻撃の事例をあげましょう。

今日メールスパムフォルダをチェックしたとき、面白いスパムメールを発見しました。

そのメールの件名はだれにもだまされませんよ。

もちろん、それがフィッシングであることにすぐに気づきました。不快なメールの件名「Re：URGENT WANT」は、それをすべて与えてくれます。こちらが海外でよく話題になってきた「ナイジェリアの王子スパム」のようなものではなかったけれども、サイバーセキュリティの原則は「貧弱な文法=フィッシング」ですよね。

しかし、このフィッシングメールのポイントが私を驚かせたポイントがあります。驚いたことに限らず、実際にホエーリング攻撃じゃないかと思わらせました。ご覧のとおり、メールの送信者は「Hoshito Hori」と表示されています。実は、堀義人さん（ほり ほしと）は私がパートタイムで働いている株式会社グロービスとグロービス経営大学院の創設者及び所有者です。要すると、彼は私の最もの上司です。

この場合、堀さんがメールで連絡をとらないことは100％確信していました。それで、私はメールを開かず、潜在的な危険は回避されました。ただし、多くのホエーリング攻撃の例では、メールの送信者は上司または組織のCレベルの人物のように見えることがよくあります。このタイプのメールをクリックすることに抵抗するのは非常に困難です。特に、電子メールプロバイダーが疑わしいメールをスパムフォルダーに分類できない場合はなおさらです。

私を捕まえようとした攻撃者は、ソーシャルエンジニアリングが得意と感じました。残念ながら、オンライン上、特にLinkedInなどのSNSで、他の何百万ものユーザーと同じように、私も多くの個人情報を提供してしまいます。その情報を掘ってきたので、今回の攻撃者は普通レベルと違わないかと思いました。

ソーシャルメディアはフィッシングの金鉱です。

攻撃者は私のプロフィールにある上記の雇用情報を見て、おそらく堀さんの名前を使ったのでしょう。 しかし、私はヘッドボスから離れすぎているため、このような連絡を取ることができません。 ただし、組織構造の上位にいる人々は、CEO、CFO、CTOなどからの突然の電子メールに目を光らせておく必要がありますよね。

一部の人にとっては、予期しない電子メールが避けられない場合があります。 そしたら、フィッシング及びホエーリングを避ける方法があるのでしょうか？ありますので、ご安心ください。

フィッシングとホエーリングを回避するための2つの基本的な方法を紹介します。 まず、送信者の名前にマウスを合わせます。 何もクリックせず、単にカーソルを合わせます。 このホバリングアクションにより、送信者アドレスが表示されます。

「Jpalombi」って、誰？何？

紫色の矢印が指しているところからわかるように、送信者の電子メールアドレスはグロービスとは関係ありません。 アドレスには、今まで見たことがない不審な電子メールアドレスドメインがあります。 最適なドットネット？ 見たことがありません。

グーグルによれば、まあ、そういうメールドメインは存在します。 しかし、電子メールドメインが「テレビ、電話、インターネットのサポート」にどのようにバンドルされているのか、私にはまったくわかりません。不思議ですので、信用できないと決定しました。

不思議だと感じましたら、ググってみましょう。

そして、フィッシングとホエーリングの攻撃を回避する2番目の方法は…

読むことです。

攻撃者がまあまあ頑張って、私の名前を正しく書いたつつ、バレます。

読むことと言いますと、クリックせずにメールの見出しとメールテキストの表示部分を読むだけです。たとえば、画像の緑色の矢印を見ましょう。不必要な大文字、間違った文法、小文字…このメールが偽物であることは明らかです。

疑問するメールの見出しやメインテキストの大文字がおかしくて、または文法が貧弱で、件名も「給料」や「ボーナス」などの人目を引くものですか？これらの質問のいずれかに「はい」と答えた場合は、その電子メールを開かない方がいいと思います。

サイバーセキュリティは簡単ではありません。高度なソーシャルエンジニアリング手法は、セキュリティの専門家でさえも、人々を獲得することができます。私は今回のホエーリングに幸運をもたらしたかもしれません。それは、企業階層であまりにも若く、私のメールプロバイダーが親切にメールをスパムフォルダーに分類したからです。たまたまCレベルとの頻繁なやり取りが予想される状況にあり、上記のような電子メールを受け取った場合、それを開かないことについて矛盾を感じる可能性があります。そのような場合は、電話に飛び乗ってその人に連絡してみてください。またはスラックなどで送信しましょう。どのように初心者でも、皆はダブルチェックで沢山の攻撃を避けることができます！