TOPセキュリティ > フィッシングの主な種類とそれぞれの特徴(中)

セキュリティ

フィッシングの主な種類とそれぞれの特徴(中)

2020/12/16

Fahmida Y. Rashid CSO

 データ流出やサイバー攻撃の事例を見ると、何らかのフィッシングの手法が絡んでいることが多い。パスワードを盗んだり、お金を振り込ませたり、マルウエアをダウンロードさせたりする目的で、フィッシングが使われている。米Verizonのレポート「2020 Data Breach Investigations Report」によると、データ侵害で使われた手段の第1位はフィッシングとなっている。

前回から続く)

ホエーリング:大物狙いの攻撃

Credit: CHUYN / Getty Images / AKO9

 攻撃で得られる成果は、標的によって異なる。フィッシングの中でも、特に企業の経営陣を標的にした攻撃のことをホエーリングと呼ぶ。企業の上層部から得られる情報は、一般社員からの情報よりも価値が高いと考えられる。例えば、アクセスできる範囲が広い最高経営責任者(CEO)のアカウントをターゲットにして、会社のデータ、社員情報、金銭を盗み出すといった攻撃が考えられる。

 ホエーリングでは、ターゲットの人物がふだん連絡を取っている相手や、やりとりの内容について把握するための調査が必要となる。例えば、顧客からの苦情、裁判所からの召喚状、役員室の問題などについてやりとりしているかもしれない。攻撃では、ターゲットの人物や企業の情報をソーシャルエンジニアリングでまず収集したうえで、メールの文面を考えることが多い。

ビジネスメール詐欺:偽の振り込みを指示

 財務部門や経理部門の担当者に向けて、CEOや最高財務責任者(CFO)になりすました偽メールを送り、指定した口座に金を振り込ませる手口もある。ビジネスメール詐欺(BEC:Business email compromise)やCEOメール詐欺と呼ばれる手法だ。

↑ページ先頭へ