// シス担のミカタ
ソーシャルエンジニアリング

ホエーリング ほえーりんぐ

フィッシングスピアフィッシングBEC(ビジネスメール詐欺)標的型攻撃ソーシャルエンジニアリングなりすまし
ホエーリングって何?普通のフィッシングと何が違うの?

簡単に言うとこんな感じ!

社長や役員など「大物(クジラ)」だけを狙った超高精度なフィッシング詐欺だよ! 普通の詐欺メールと違って、ターゲットの名前・役職・取引先まで調べ上げた本物そっくりのメールで「今すぐ送金して!」と騙すんだ。被害額が桁違いに大きいのが特徴!

ホエーリングとは

ホエーリング(Whaling) とは、企業の経営幹部や役員など、権限と影響力を持つ「大物ターゲット」に絞り込んだ高度なサイバー攻撃手法です。「Whaling(捕鯨)」という名前は、小魚ではなく クジラ(=大物) を狙うことに由来しています。フィッシング詐欺の一種ですが、不特定多数に網を張る一般的なフィッシングとは異なり、ターゲットを徹底的にリサーチした上で仕掛けるのが最大の特徴です。

攻撃者はSNS・プレスリリース・企業サイトなどから社長や CFO(最高財務責任者)の情報を収集し、本物の業務メールと見分けがつかないほど精巧な偽メール を作成します。「取引先への緊急送金」「M&A関連の機密資料確認」といった経営幹部にとってリアリティのある文脈で送り込むため、受け取った側も疑いにくく、1件の攻撃で数億円規模の被害につながるケースもあります。

ホエーリングは BEC(Business Email Compromise:ビジネスメール詐欺 と組み合わされることも多く、「社長からの指示」に見せかけて経理担当者を騙す手口も広く知られています。経営幹部を守ることが、企業全体の財務リスク管理に直結する重大な問題です。

フィッシング攻撃の種類と違い

フィッシング系の攻撃はターゲットの絞り込み具合によって呼び名が変わります。

種類ターゲット精度被害規模の目安
フィッシング不特定多数低(大量送信)個人レベル
スピアフィッシング特定の部署・個人中(ある程度調査)部門レベル
ホエーリング経営幹部・役員高(徹底調査)企業レベル(億円超)
BEC経理・財務担当者高(社長等になりすまし企業レベル(億円超)

覚え方:魚釣りの規模で考えよう

フィッシング      :投げ網で小魚を大量に狙う
スピアフィッシング :銛(もり)で特定の魚を狙う
ホエーリング      :捕鯨船で大物クジラだけを狙う

ホエーリングメールの典型的な特徴

  • 受信者(幹部)の フルネーム・役職・直近の業務内容 が正確に書かれている
  • 緊急性を煽る(「今日中に送金しないと契約が流れる」など)
  • 送信元アドレスが本物のドメインと 1文字だけ違う(例:tanaka@examp1e.co.jp
  • 添付ファイルや不審なリンクを含む場合も
  • 返信先(Reply-To) が攻撃者のアドレスにすり替えられている

歴史と背景

  • 2000年代初頭:一般的なフィッシング詐欺が急増。銀行・ECサイトを装ったメールが横行
  • 2005年頃:より高度な「スピアフィッシング」が登場。特定企業・組織を狙う手法が確立される
  • 2008年頃:「ホエーリング」という用語が情報セキュリティ業界で使われ始める
  • 2010年代:SNSの普及により、経営幹部の情報がオープンソースで入手しやすくなり攻撃が急増
  • 2016年:バングラデシュ中央銀行がBECとホエーリングを組み合わせた攻撃で約81億円を詐取される事件が世界的に注目される
  • 2020年代:AIによる自然な文章生成・音声合成(ディープフェイク)と組み合わせた次世代ホエーリングが出現。「社長の声」で電話する詐欺も報告される

ホエーリングの攻撃フローと対策

攻撃がどのように進むかを理解することが、防御の第一歩です。

ホエーリング攻撃の流れと対策ポイント ① 情報収集 SNS・IR・Web で幹部情報を調査 ② メール作成 本物そっくりの 偽メールを生成 ③ 送信・誘導 緊急性を煽り 送金・情報提供を促す ④ 被害 送金・情報漏洩 信用失墜 🛡️ 対策ポイント ① 情報管理の徹底 幹部のSNS投稿ポリシー策定 IR・Webに必要以上の 個人情報を載せない OSINT対策の意識付け ② メール技術対策 SPF / DKIM / DMARCの設定 類似ドメインの監視 多要素認証(MFA)の導入 AIメールフィルタリング ③ 運用ルールの整備 送金は必ず電話で二重確認 緊急依頼には承認フロー適用 幹部向けセキュリティ研修 インシデント対応手順の策定 📌 実務で特に重要なルール「送金前の電話確認」 メールだけで送金指示を完結させない。 「社長から緊急送金のメールが来た」→ 必ず既知の番号に電話して本人確認を取るルールを徹底することで ホエーリング・BEC被害の大半は防ぐことができる。 ※ メールに記載された電話番号に折り返すのはNG(攻撃者が仕込んだ番号の可能性あり)

経営幹部が狙われる理由

  • 権限が大きい:大口送金・契約締結・機密情報へのアクセス権限を持つ
  • 忙しくて確認が甘くなりやすい:膨大なメールをさばく中で判断が急ぎになりがち
  • 情報がオープンになっている:IR資料・LinkedInなどで役職・業務内容が公開されている
  • セキュリティ教育の対象外になりがち:「社長にセキュリティ研修を」と言いにくい社内文化

関連する規格・RFC

規格・RFC番号内容
RFC 7208SPF(Sender Policy Framework):送信元IPアドレスを検証しなりすまし防止
RFC 6376DKIM(DomainKeys Identified Mail):電子署名でメールの改ざんを検証
RFC 7489DMARC:SPF・DKIMの認証結果に基づきメールの処理方針を設定
NIST SP 800-177メールセキュリティのガイドライン(フィッシング対策含む)

関連用語