TOP > セキュリティ > フィッシングの主な種類とそれぞれの特徴(中)
関連カテゴリー: マネジメント
フィッシングの主な種類とそれぞれの特徴(中)
2020/12/16
データ流出やサイバー攻撃の事例を見ると、何らかのフィッシングの手法が絡んでいることが多い。パスワードを盗んだり、お金を振り込ませたり、マルウエアをダウンロードさせたりする目的で、フィッシングが使われている。米Verizonのレポート「2020 Data Breach Investigations Report」によると、データ侵害で使われた手段の第1位はフィッシングとなっている。
(前回から続く)
ホエーリング:大物狙いの攻撃

攻撃で得られる成果は、標的によって異なる。フィッシングの中でも、特に企業の経営陣を標的にした攻撃のことをホエーリングと呼ぶ。企業の上層部から得られる情報は、一般社員からの情報よりも価値が高いと考えられる。例えば、アクセスできる範囲が広い最高経営責任者(CEO)のアカウントをターゲットにして、会社のデータ、社員情報、金銭を盗み出すといった攻撃が考えられる。
ホエーリングでは、ターゲットの人物がふだん連絡を取っている相手や、やりとりの内容について把握するための調査が必要となる。例えば、顧客からの苦情、裁判所からの召喚状、役員室の問題などについてやりとりしているかもしれない。攻撃では、ターゲットの人物や企業の情報をソーシャルエンジニアリングでまず収集したうえで、メールの文面を考えることが多い。
ビジネスメール詐欺:偽の振り込みを指示
財務部門や経理部門の担当者に向けて、CEOや最高財務責任者(CFO)になりすました偽メールを送り、指定した口座に金を振り込ませる手口もある。ビジネスメール詐欺(BEC:Business email compromise)やCEOメール詐欺と呼ばれる手法だ。