ホエーリング攻撃｜経営層を狙うフィッシング詐欺の脅威

2025年12月04日作成

経営者、役員、CFOなど企業の最高幹部を狙う「**ホエーリング攻撃**」が急増しています。通常の[フィッシング詐欺](/security/scams/phishing/)とは異なり、事前調査を徹底し、経営層の権限と信頼関係を悪用する極めて巧妙な手口です。1件で数億円の被害に至るケースも多く、企業の存続に関わる深刻な脅威となっています。本記事では、ホエーリングの具体的手口、実際の被害事例、そして経営層自身が取るべき対策を詳しく解説します。

ホエーリング攻撃とは何か【定義と特徴】

ホエーリング（Whaling）攻撃とは、企業の経営層や役員クラスの「大物（Big Fish）」を標的とした高度なフィッシング詐欺です。「Whale（クジラ）」を捕獲する「Whaling（捕鯨）」になぞらえ、一般社員ではなく組織の意思決定者を狙い撃ちにする攻撃手法を指します。

通常のフィッシングが不特定多数に大量のメールを送信するのに対し、ホエーリングは徹底した事前調査に基づき、特定の経営者1名に対して周到に準備された攻撃を仕掛けます。

フィッシング攻撃の種類比較

攻撃種別	標的	事前調査	被害額	成功率
一般的なフィッシング	不特定多数	なし	数万～数十万円	3-5%
スピアフィッシング	特定個人・部門	基本調査	数十万～数百万円	10-15%
ホエーリング	経営層・役員	徹底調査	数千万～数十億円	0.1-0.5%

ホエーリング攻撃の3つの特徴: **1. 高額被害**：1件あたりの平均被害額は約2億円、最高被害額は50億円を超える事例も報告されています。 **2. 権限悪用**：CEOやCFOの送金権限・承認権限を直接悪用するか、その指示を装って経理部門を動かします。 **3. 組織的準備**：攻撃グループは数週間から数ヶ月かけて標的企業を調査し、組織図、決算情報、役員のスケジュールまで把握します。

成功率は0.1%程度と低いものの、1件成功すれば数億円の利益が得られるため、攻撃者にとっては非常に効率的な手法です。一般的なソーシャルエンジニアリングの技術を極限まで洗練させた攻撃といえます。

経営層が狙われる5つの理由

なぜ攻撃者は、セキュリティ意識が高いはずの経営層をあえて狙うのでしょうか。その理由は、経営層特有の立場と権限にあります。

理由1：送金権限・承認権限を持つ

経営層、特にCFO（最高財務責任者）や財務担当役員は、高額送金の最終承認権限を持っています。一般社員であれば複数の承認が必要な送金も、役員決裁であれば単独で実行できるケースがあります。

実例：ある製造業では、CFOの承認のみで1億円までの送金が可能な社内規定でした。攻撃者はこの規定を把握した上で、9,800万円の「緊急送金」を指示しました。

理由2：社内での信頼と権威が絶対的

「社長からの指示」「CEOの依頼」という言葉には、社内で絶対的な重みがあります。秘書や経理担当者が「本当に社長ですか？」と確認することは、日本の企業文化では心理的ハードルが極めて高いのが現実です。

理由3：セキュリティ教育の対象外になりがち

多くの企業で、セキュリティ研修は一般社員向けに実施されますが、経営層は「忙しい」を理由に参加しないケースが少なくありません。結果として、最新の攻撃手口に対する知識が不足しがちです。

理由4：スケジュールや連絡先が公開されている

経営層のスケジュールは、IR情報、プレスリリース、業界イベントの登壇情報などからかなりの精度で把握可能です。「海外出張中」「決算発表直前」など、確認が取りにくいタイミングを狙われます。

理由5：忙しさから確認プロセスを省略しやすい

経営層は日々膨大な意思決定を求められます。「急ぎの案件」と言われれば、通常の確認プロセスを省略してしまうことがあります。攻撃者はこの心理を巧みに利用します。

狙われる理由	攻撃者が悪用するポイント
送金権限	高額送金を単独で承認可能
社内権威	指示への疑問が許されない文化
教育不足	最新手口への対応力が低い
情報公開	行動パターンが予測可能
多忙	確認プロセスの省略

CEOなりすましメールの巧妙な手口

ホエーリング攻撃の核心は、CEOや役員になりすましたメールです。攻撃者がどのように準備し、どのような偽装を行うのかを詳しく解説します。

攻撃者の事前調査プロセス

攻撃者は以下の情報源から標的企業を徹底的に調査します。

公開情報からの調査項目: - **LinkedIn**：役員の経歴、人脈、投稿内容、出張先 - **決算資料**：取引銀行、主要取引先、M&A情報 - **プレスリリース**：新規プロジェクト、海外展開計画 - **SNS**：経営層の趣味、家族構成、休暇パターン - **求人情報**：社内システム、使用ツール、組織体制

偽装メールの特徴10項目

No.	偽装テクニック	具体例
1	ドメイン類似	`company.com` → `cornpany.com`（rn→m）
2	表示名偽装	差出人名のみ本物、アドレスは別
3	文体模倣	過去メールの署名・口調をコピー
4	機密扱い指示	「他言無用」「私に直接報告」
5	緊急性演出	「本日中」「至急対応」
6	正当な理由	「M&A案件」「訴訟対応」
7	電話回避	「会議中につきメールで」
8	少額から開始	最初は少額で信頼構築
9	第三者介在	「弁護士の〇〇に確認を」
10	タイミング	金曜午後、連休前、決算期

なりすましメールの3パターン

パターン1：CEO → CFOへの送金指示

「極秘M&A案件の手付金として、本日中に下記口座へ5,000万円を送金してください。デューデリジェンス費用として先方に約束済みです。詳細は後日説明しますが、まずは送金を優先してください。」

パターン2：CEO → 経理部門への依頼

「取引先への支払い口座が変更になりました。今月分から下記の新口座へ振り込むよう、システム変更をお願いします。先方の都合で急いでいます。」

パターン3：CEO → 秘書への依頼

「出張中で手が離せません。至急、下記の請求書の支払い処理をお願いできますか。帰国後に精算します。」

緊急性を演出するキーワード

攻撃者は以下のような言葉で冷静な判断を妨げます。

「極秘案件」「機密事項」
「今すぐ」「本日中に」「至急」
「私に直接報告」「他の人には相談しないで」
「出張中」「会議中」「移動中」
「電話は避けて」「メールのみで」

実例：CEO偽装メールの全文解析

以下は実際に発生したホエーリング攻撃メールを匿名化・一部改変したものです。

差出人：山田太郎 <t.yamada@cornpany-group.com>  ← 【危険】ドメインが微妙に異なる
件名：至急・極秘：M&A関連の送金依頼
─────────────────────────────
佐藤さん

お疲れ様です。現在シンガポール出張中で、時差の関係で電話が難しい状況です。
← 【危険】電話確認を回避する言い訳

至急お願いがあります。
来週発表予定のA社買収案件について、本日中にデポジットを送金する必要が
出てきました。先方との交渉が急展開したためです。
← 【危険】緊急性と正当な理由の演出

金額：4,800万円
送金先：〇〇銀行 △△支店 普通 1234567 ××コンサルティング
← 【危険】初めて登場する送金先

この案件は発表まで極秘扱いでお願いします。経理の田中さんにも
まだ話していないので、今回は私への直接報告のみでお願いできますか。
← 【危険】通常の承認フローの回避、機密扱いの指示

帰国したら詳しく説明します。よろしくお願いします。

山田太郎
─────────────────────────────

このメールの危険ポイントまとめ: 1. **ドメインの微妙な違い**：`company` → `cornpany`（rとnでmに見せかけ） 2. **電話確認の回避**：「出張中」「時差で電話が難しい」 3. **緊急性の強調**：「本日中」「急展開」 4. **機密扱いの指示**：「極秘」「田中さんにも話していない」 5. **通常フロー回避**：「私への直接報告のみ」

正規のCEOメールであれば、重要な送金案件は事前に経理部門と調整されており、突然の「本日中送金」という依頼は不自然です。また、確認を避けようとする姿勢は最大の危険信号です。

秘書・経理部門への攻撃パターン

ホエーリング攻撃では、経営層本人だけでなく、秘書や経理部門が最終的な実行者として狙われます。

秘書が最も狙われる理由

秘書は「社長の代理」として多くの業務を処理します。日常的に経費精算や支払い処理を代行しているため、送金依頼に対する心理的抵抗が低い傾向があります。

秘書への攻撃が成功しやすい背景: - 社長の指示に疑問を呈することへの心理的抵抗 - 「急ぎの対応」が日常業務の一部 - 社長のスケジュールを把握しており、不在時を狙われやすい - 送金業務の権限を持っていることがある

経理部門への攻撃パターン

経理部門に対しては、以下のような攻撃が行われます。

攻撃パターン	手口	被害例
請求書偽装	取引先の請求書を精巧にコピー、口座のみ変更	1件3,000万円の誤送金
取引先変更	「銀行口座が変わった」と偽の通知	毎月の支払いが攻撃者へ
緊急送金	CEO偽装メールで「至急送金」	単発で数億円
給与振込先変更	役員の給与振込先を変更	数ヶ月分の給与窃取

実例：「社長から急ぎの送金指示」で3億円被害

ある中堅商社で発生した事例です。

金曜日午後4時：経理担当者が「社長」から緊急送金依頼メールを受信
メール内容：「海外M&A案件のデポジット、本日中に3億円送金」
担当者の対応：社長は海外出張中（事実）、電話したが繋がらず
結果：「急ぎ」のため上長承認のみで送金を実行
発覚：翌週月曜日、社長帰国後に発覚。資金は既に引き出し済み

この事例では、攻撃者が社長の出張スケジュールを把握していたことが成功の要因でした。IR情報や業界イベントの登壇情報から出張日程を特定したと考えられています。

海外送金詐欺の実態【回収困難性】

ホエーリング攻撃による送金先は、ほぼ100%が海外口座です。これには明確な理由があります。

海外送金が選ばれる理由

攻撃者が海外口座を指定する5つの理由: 1. **追跡困難**：国境を越えると捜査協力に時間がかかる 2. **時差利用**：日本の営業時間外に資金を移動 3. **管轄外**：日本の法執行機関の権限が及ばない 4. **中継口座**：複数国を経由して資金を分散 5. **暗号資産への変換**：最終的に追跡不能な形態へ

送金先として多い地域

地域	特徴	利用される理由
香港	国際金融ハブ	口座開設が容易、資金移動が迅速
シンガポール	規制が緩い	プライバシー保護が強い
東欧諸国	中継地点	捜査協力体制が不十分
東南アジア	現金化拠点	ATM引き出し限度額が高い

資金回収の現実

フィッシング被害の金銭回復は極めて困難ですが、ホエーリングの場合はさらに深刻です。

海外送金の回収率：約5%
回収までの期間：平均18ヶ月
回収成功の条件：送金から24時間以内の凍結依頼

日本企業5社の被害総額50億円のうち、回収できたのはわずか2.5億円（5%）という報告があります。送金後48時間以内に気づいた1社のみが部分回収に成功しました。

国際捜査には、インターポールを通じた協力依頼、現地当局との調整、裁判所の凍結命令など複雑な手続きが必要です。その間に資金は次々と移動され、最終的に暗号資産に変換されると追跡は事実上不可能になります。

ホエーリング被害の企業への影響

ホエーリング攻撃の被害は、送金額だけではありません。企業全体に長期的かつ多面的な影響を及ぼします。

直接的損失

損失項目	金額目安	内容
送金額	数千万～数十億円	攻撃者への送金額
調査費用	2,000万～5,000万円	フォレンジック調査、外部専門家
法的費用	1,000万～3,000万円	弁護士費用、訴訟対応
システム改修	3,000万～1億円	セキュリティ強化、承認フロー見直し

間接的損失

信用失墜による長期的影響: - **株価下落**：被害公表後、平均15-20%の株価下落 - **取引先離れ**：セキュリティ管理能力への不信 - **採用への影響**：企業イメージの低下 - **保険料上昇**：サイバー保険の更新時に大幅値上げ

経営責任問題

ホエーリング被害は役員の善管注意義務違反を問われる可能性があります。

株主代表訴訟：セキュリティ対策の不備を理由とした訴訟リスク
役員解任：重大な過失と判断された場合の責任追及
損害賠償：会社に対する個人としての賠償責任

実例：ある上場企業では、ホエーリング被害（約8億円）の公表後、株価が22%下落。主要取引先3社から取引条件の見直しを求められ、最終的にCFOが引責辞任しました。

被害からの完全回復には2-3年を要するとされ、その間の機会損失も含めると、実際の総損失は送金額の3-5倍に達することがあります。

経営層自身が取るべき7つの対策

経営層は「守られる側」ではなく、自ら率先してセキュリティ対策をリードする必要があります。

対策1：二段階認証の必須化

項目	内容
実装難易度	★☆☆☆☆（簡単）
所要時間	30分
具体的対応	すべてのビジネスアカウントで2FA有効化、ハードウェアキー推奨

経営層自身がまず実践し、「社長も使っている」と全社に示すことが重要です。

対策2：送金承認ルールの厳格化

項目	内容
実装難易度	★★★☆☆（中程度）
所要時間	2週間
具体的対応	500万円以上は電話確認必須、初回送金先は対面承認

「急ぎでも例外なし」を経営層自らが宣言し、社内文化として定着させます。

対策3：公開情報の管理

項目	内容
実装難易度	★★☆☆☆（やや簡単）
所要時間	1週間
具体的対応	出張予定の非公開化、SNS投稿の見直し、IR開示内容の精査

対策4：セキュリティ教育への参加

項目	内容
実装難易度	★☆☆☆☆（簡単）
所要時間	年2回×2時間
具体的対応	経営層向け専門プログラムへの参加、最新事例の定期共有

企業のフィッシング詐欺対策体制の中で、経営層向けプログラムの重要性が指摘されています。

対策5：疑似攻撃訓練の実施

項目	内容
実装難易度	★★★★☆（やや難しい）
所要時間	年2回実施
具体的対応	経営層を含めた抜き打ち訓練、結果の分析と改善

対策6：緊急連絡網の整備

項目	内容
実装難易度	★★☆☆☆（やや簡単）
所要時間	3日
具体的対応	本人確認用の合言葉設定、複数連絡手段の確保

対策7：サイバー保険の加入

項目	内容
実装難易度	★★☆☆☆（やや簡単）
所要時間	1ヶ月
具体的対応	役員賠償責任特約付きサイバー保険への加入

秘書・経理担当者のための防御マニュアル

経営層からの指示を受ける立場にある秘書・経理担当者向けの実践的な防御手順を解説します。

確認すべき10のチェックポイント

送金依頼を受けたら確認すべき項目: 1. **メールアドレスのドメイン**：1文字ずつ確認（rn→m、l→1など） 2. **送金先口座**：初めての送金先ではないか 3. **金額の妥当性**：通常の取引範囲内か 4. **緊急性の理由**：なぜ「今すぐ」なのか 5. **確認回避の指示**：「他の人には相談しないで」等がないか 6. **機密扱いの指示**：不自然な秘密保持の要求がないか 7. **タイミング**：金曜午後、連休前、役員不在時ではないか 8. **文体の違和感**：普段のメールと比べて不自然な点がないか 9. **署名の正確性**：署名ブロックに微妙な違いがないか 10. **返信先アドレス**：差出人と返信先が異なっていないか

「社長から」のメールへの対応フロー

即座に送金しない：どんなに急ぎでも、確認が先
別の手段で本人確認：メールへの返信ではなく、電話か対面
電話は自分からかける：メールに記載の番号は使わない
上長への報告：疑わしい場合は必ず報告
IT部門への連絡：不審なメールとして報告

電話確認の具体的手順

【正しい確認方法】
1. 社内電話帳から社長の番号を確認
2. 自分から電話をかける（折り返しを待たない）
3. 繋がらない場合は、秘書室経由で確認
4. 「〇〇の件でメールをいただきましたが、念のため確認です」
5. 確認が取れるまで絶対に送金しない

【やってはいけないこと】
× メールに記載された電話番号にかける
× 「急いでいるので」と確認を省略する
× 折り返しの電話を待つ

「確認したら怒られる」という心理の克服

確認をためらう心理とその対処法: **心理**：「社長に確認の電話をしたら失礼かも」 **対処**：「セキュリティ規定に基づく確認です」と説明すれば問題ない **心理**：「急いでいるのに邪魔したら怒られる」 **対処**：本物の社長なら確認を歓迎するはず。怒る方が不自然 **心理**：「疑うのは信頼していないように見える」 **対処**：これは業務プロセスであり、個人への不信ではない

重要：経営層は「確認の電話は歓迎する」というメッセージを日頃から発信し、確認しやすい文化を作る責任があります。

組織的な防御体制の構築

個人の注意力に依存するのではなく、仕組みとして防御する体制が必要です。

送金承認ワークフローの設計

推奨される承認フロー: **100万円未満**：担当者＋上長の2名承認 **100万円以上500万円未満**：部門長＋経理責任者の承認 **500万円以上**：上記＋電話確認必須 **1,000万円以上**：役員承認＋対面確認 **初回送金先**：金額に関わらず対面確認必須

役職別の権限マトリックス

役職	単独承認上限	必要な追加承認
一般社員	10万円	上長承認必須
課長クラス	50万円	部長承認必須
部長クラス	200万円	役員承認必須
役員	500万円	電話確認必須
CFO	1,000万円	CEO承認必須

異常送金の自動検知システム

企業のフィッシング詐欺対策体制として、以下の自動検知の導入を推奨します。

初回送金先へのアラート：新規口座への送金時に自動通知
高額送金の即時アラート：閾値超過時にリアルタイム通知
時間外送金の検知：営業時間外の送金申請を自動保留
海外送金の追加確認：海外口座への送金時に追加承認を要求

内部統制の強化

上場企業ではSOX法（内部統制報告制度） への対応として、送金プロセスの統制が求められます。ホエーリング対策は内部統制強化と一体で進めることが効率的です。

ホエーリング攻撃の最新トレンド2025

ホエーリング攻撃は年々高度化しています。2025年時点での最新の脅威動向を把握しておきましょう。

AI音声によるCEO偽装（ディープフェイク）

AI・ディープフェイクフィッシング詐欺の技術を応用し、CEOの音声を合成して電話をかける攻撃が報告されています。

わずか数分の音声サンプルから、本人と区別がつかないレベルの合成音声を生成可能になっており、「電話で確認したから安心」という従来の対策が通用しなくなりつつあります。

ビデオ会議でのなりすまし

コロナ禍以降、ビデオ会議が一般化したことで、リアルタイムのディープフェイク映像でCEOになりすます攻撃が出現しています。「ビデオ通話で顔を見たから本人」という確認も、もはや万全ではありません。

M&A・資金調達時を狙った攻撃

企業がM&Aや資金調達を進めている時期は、大規模な資金移動が発生することを攻撃者は知っています。IR情報や報道から案件を察知し、タイミングを合わせて攻撃を仕掛けます。

ESG投資を装った詐欺

「ESG関連の投資案件」「サステナビリティ・ボンドへの出資」など、経営層が関心を持ちやすいテーマを利用した新手口も確認されています。

今後の脅威予測

2025年以降に警戒すべき動向: - **マルチチャネル攻撃**：メール、電話、ビデオを組み合わせた複合攻撃 - **サプライチェーン経由**：取引先の役員になりすまして接触 - **内部協力者の利用**：買収した社員情報を使った精密な偽装 - **生成AIの悪用**：より自然な文章、より精巧な偽造書類

よくある質問

Q: スピアフィッシングとホエーリングの違いは何ですか？: A: スピアフィッシングは特定の個人や部門を狙う攻撃全般を指しますが、ホエーリングは特に経営層や役員クラスの「大物」に特化した攻撃です。事前調査の深さ、偽装の精巧さ、そして被害額の規模が桁違いに大きくなります。スピアフィッシングの被害額が数十万～数百万円程度であるのに対し、ホエーリングは数千万～数十億円に達することがあります。
Q: なぜ経営層はセキュリティ攻撃に狙われやすいのですか？: A: 経営層は高額送金の承認権限を持ち、社内で絶対的な信頼と権威があるためです。また、スケジュールや連絡先が公開情報から把握しやすく、多忙さから確認プロセスを省略しがちという特性があります。さらに、セキュリティ教育の対象外になっているケースも多く、最新の攻撃手口への対応力が不足していることがあります。
Q: 秘書はCEOからの送金依頼にどう対応すべきですか？: A: どんなに急ぎの依頼でも、必ず別の手段で本人確認を行ってください。メールへの返信ではなく、社内電話帳から確認した番号に自分から電話をかけます。「セキュリティ規定に基づく確認です」と説明すれば、本物の経営者なら必ず理解してくれます。確認が取れるまでは、絶対に送金しないことが鉄則です。
Q: 送金してしまった場合、資金の回収は可能ですか？: A: 資金回収は非常に困難です。海外送金の場合、回収率はわずか5%程度とされています。回収成功の条件は、送金から24時間以内に銀行への凍結依頼を行うことです。気づいた時点で直ちに送金元銀行に連絡し、送金先銀行への凍結依頼、警察への被害届を並行して進める必要があります。
Q: サイバー保険はホエーリング被害に適用されますか？: A: 多くのサイバー保険でホエーリング被害は補償対象となりますが、契約内容により異なります。特に「ソーシャルエンジニアリング詐欺」「なりすまし詐欺」が明示的に補償対象に含まれているか確認が必要です。また、補償上限額、免責金額、適用条件（セキュリティ対策の実施状況等）も事前に確認しておくことをお勧めします。
Q: 取締役がホエーリング被害を出した場合、法的責任を問われますか？: A: セキュリティ対策の整備を怠っていた場合、取締役の善管注意義務違反が問われる可能性があります。株主代表訴訟のリスクや、重大な過失と判断された場合の役員解任の可能性もあります。ただし、適切な内部統制を構築し、相当の注意を払っていた場合は責任が軽減される可能性があります。具体的な法的責任については弁護士にご相談ください。
Q: 中小企業もホエーリング攻撃の標的になりますか？: A: はい、中小企業も標的になります。むしろ、大企業に比べてセキュリティ対策が手薄で、経営者が直接送金に関わるケースが多いため、攻撃が成功しやすい面があります。「うちは狙われない」という思い込みは危険です。中小企業でも、送金時の確認プロセス整備、経営者向けセキュリティ教育など、基本的な対策を講じることが重要です。