フィッシングの主な種類とそれぞれの特徴（中）

　データ流出やサイバー攻撃の事例を見ると、何らかのフィッシングの手法が絡んでいることが多い。パスワードを盗んだり、お金を振り込ませたり、マルウエアをダウンロードさせたりする目的で、フィッシングが使われている。米Verizonのレポート「2020 Data Breach Investigations Report」によると、データ侵害で使われた手段の第1位はフィッシングとなっている。

（前回から続く）

ホエーリング：大物狙いの攻撃

Credit: CHUYN / Getty Images / AKO9

　攻撃で得られる成果は、標的によって異なる。フィッシングの中でも、特に企業の経営陣を標的にした攻撃のことをホエーリングと呼ぶ。企業の上層部から得られる情報は、一般社員からの情報よりも価値が高いと考えられる。例えば、アクセスできる範囲が広い最高経営責任者（CEO）のアカウントをターゲットにして、会社のデータ、社員情報、金銭を盗み出すといった攻撃が考えられる。

　ホエーリングでは、ターゲットの人物がふだん連絡を取っている相手や、やりとりの内容について把握するための調査が必要となる。例えば、顧客からの苦情、裁判所からの召喚状、役員室の問題などについてやりとりしているかもしれない。攻撃では、ターゲットの人物や企業の情報をソーシャルエンジニアリングでまず収集したうえで、メールの文面を考えることが多い。

ビジネスメール詐欺：偽の振り込みを指示

　財務部門や経理部門の担当者に向けて、CEOや最高財務責任者（CFO）になりすました偽メールを送り、指定した口座に金を振り込ませる手口もある。ビジネスメール詐欺（BEC：Business email compromise）やCEOメール詐欺と呼ばれる手法だ。

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜