ホエーリングとスピアフィッシングの違いは何ですか？

標的の役職と目的が違います。スピアフィッシングは特定の個人・組織を狙う標的型フィッシング全般を指します。ホエーリングはその中でも、CEO・CFO・役員など経営幹部という大物に絞ったものです。幹部は高い権限を持つ分、偽装メールで引き出せる被害額も大きくなります。ホエーリングはスピアフィッシングの一種で、標的の格が上がった分、攻撃の精度と被害規模が増大します。

社長のアドレスから送金指示のメールが届きました。本物ですか？

送金する前に必ず電話で社長本人に確認してください。送信元アドレスは偽装できますし、社長のアカウントが乗っ取られている可能性もあります。特に緊急・秘密・高額という三要素がそろっていたら要注意です。本物の社長なら、電話で確認しても怒りません。確認する前に送金してしまった場合は、すぐに振込先銀行に連絡して送金停止を依頼してください。

個人がホエーリングの被害に遭うことはありますか？

中小企業の経営者・財務担当者・個人事業主も十分に標的になりえます。また、経営幹部を騙す側面だけでなく、経営幹部を装って一般従業員に送金指示を出す手口もあり、この場合は一般社員が被害者になります。役職に関わらず、メール一本だけで完結する送金要求には応じないという習慣が、最も効果的な防御です。

ホエーリングとビジネスメール詐欺（BEC）の違いは何ですか？

ほぼ重なりますが、範囲が少し違います。ビジネスメール詐欺（BEC）は、企業のビジネスメールを悪用した詐欺全般を指す広い概念です。ホエーリングはBECの中でも、経営幹部を直接標的にしたり、経営幹部に成りすましたりする手口に特化したものです。BECという大きな枠の中に、ホエーリングという特定の手口が含まれると捉えると分かりやすいでしょう。

ホエーリングとは？経営幹部を狙うCEO詐欺メール

ホエーリングとは？ざっくりと3行で

ホエーリングとは、CEO・CFO・役員など企業の経営幹部だけを狙い撃ちにした、高度にパーソナライズされたフィッシング攻撃のことだ。
幹部の業務内容・取引先・SNS投稿まで徹底的に調査したうえで、本物そっくりの業務メールを作成し、高額の緊急送金や機密情報の提供を指示してくる。
仕組みを知っておけば、メールだけで完結する送金指示には必ず電話で確認する習慣が守れて、CEO詐欺による企業被害を防げる。

【深掘り】これだけは知っておけ
1. ホエーリングの主な手口
典型的なフレーズ・文脈
困ったときの相談窓口
【まとめ】3つのポイント
よくある質問

【深掘り】これだけは知っておけ

ホエーリングのこわさは、一般的なフィッシング詐欺を熟知している経営層を標的にするため、攻撃の精度が極めて高い点です。本物の業務メールと見分けがつかないほど作り込まれていることがあります。

ホエーリングは、フィッシングの中でも経営幹部という大物（クジラ）を狙うことから名づけられた攻撃手法で、CEO詐欺とも同義です。スピアフィッシングの一種ですが、標的が企業のCEO・CFO・役員クラスに限定されているため、攻撃の精度と被害規模が格段に大きくなります。BEC（ビジネスメール詐欺）攻撃の89%がCEO・CFOなど権威ある人物のなりすましを使うという調査結果があります。攻撃者はLinkedIn・決算資料・プレスリリース・SNS等を駆使して標的企業を徹底リサーチし、実在する取引内容や人物関係を織り交ぜた本物らしいメールを作成します。

典型的な手口は、CEOや役員を名乗るメールで財務担当者に緊急送金を指示するパターンです。極秘のM&A案件で今日中に5,000万円を送金してほしい、詳細は後で説明するなどというメールが、役員のアドレスに酷似した偽アドレスや乗っ取ったアドレスから届きます。緊急性と秘密保持の指示が組み合わさることで、通常の承認手続きを飛ばさせるのが狙いです。役員のアカウントが実際に乗っ取られているケースでは、本人の過去のメールと文体まで一致するため、フィルタリングで検出することが難しくなります。

見抜くポイントは、メール一本で完結する高額の送金指示には絶対に応じないことです。どんな役職の指示でも、メールのみでの送金要求が来たら必ず電話で本人確認を行う社内ルールを作ることが最大の防御になります。急ぐほど怪しく、秘密にするほど危険です。

個人がホエーリングの被害者になるケースは少ないものの、中小企業の財務担当者や経営者も十分に標的になりえます。対策の核心は手続きの複数ルート化で、送金・振込先変更などの重要指示はメール単独では完結させない運用ルールを設けることです。役員からのメールであっても、電話や対面確認を必須とする。この一手間が、高精度の偽装メールに対する最も確実な防御です。

ホエーリングの主な手口

手口の種類	典型的な内容	見抜くポイント
CEO詐欺（緊急送金指示）	極秘M&A案件で今日中に送金を	メール一本の送金指示は必ず電話確認
振込先変更詐欺	役員を装い給与や代金の振込先変更を指示	振込先変更は独立した確認手順を踏む
機密情報要求	取締役会資料・財務報告書の添付を求める	機密資料はメール添付で送らないルール化

典型的なフレーズ・文脈

詐欺師

田中部長、社長の山田です。極秘のM&A案件が本日締切です。先方への手付金として指定口座へ3,000万円を今日中に送金してください。詳細は後ほど。この件は他言無用でお願いします。

社長名義のなりすましメールで、緊急性・秘密保持・高額送金という三要素を組み合わせ、通常の承認手続きを飛ばさせるホエーリングの典型的な手口です。

キャスター

セキュリティ専門家は、役員になりすまして緊急送金を指示するビジネスメール詐欺が国内でも増加しているとして、メール一本での送金指示には必ず電話で本人確認するよう呼びかけています。

ホエーリング・CEO詐欺の増加を解説する報道番組や、セキュリティ専門家による注意喚起を想定した表現です。

メール単独の送金指示に電話確認を求める大切さを助言する消費生活相談員のイラストアイコン

専門家

どんな役職の指示でも、メール一本だけの送金要求には応じないルールを社内で作ってください。急ぐほど・秘密にするほど怪しいです。被害に遭ったら#9110へ。

セキュリティ担当者が、メール単独の送金指示への電話確認を必須とする社内ルール化を助言する場面を想定しています。

困ったときの相談窓口

ホエーリングによるビジネスメール詐欺の被害が発生した場合は、以下の窓口に相談できます。

窓口名	電話番号	受付時間	対応内容
警察相談専用電話	#9110	平日 8:30〜17:15（各都道府県で異なる）	サイバー犯罪・企業被害の相談
IPA安心相談窓口	03-5978-7509	平日 10:00〜12:00、13:30〜17:00	サイバー犯罪・標的型メール攻撃の相談
法テラス	0570-078374	平日 9:00〜21:00 / 土 9:00〜17:00	法的トラブル・弁護士費用の相談

【まとめ】3つのポイント

正体はCEO詐欺：ホエーリングは経営幹部を標的にした高精度なフィッシング攻撃です。
緊急・秘密・高額が組み合わさる：急ぐほど秘密にするほど高額なほど怪しい。この三要素がそろったら要注意です。
メール単独の送金は電話確認必須：どんな役職の指示でも、メールだけで完結する送金は必ず電話で本人確認を。

よくある質問

Q ホエーリングとスピアフィッシングの違いは何ですか？: A

標的の役職と目的が違います。スピアフィッシングは特定の個人・組織を狙う標的型フィッシング全般を指します。ホエーリングはその中でも、CEO・CFO・役員など経営幹部という大物に絞ったものです。幹部は高い権限を持つ分、偽装メールで引き出せる被害額も大きくなります。ホエーリングはスピアフィッシングの一種で、標的の格が上がった分、攻撃の精度と被害規模が増大します。

Q 社長のアドレスから送金指示のメールが届きました。本物ですか？: A

送金する前に必ず電話で社長本人に確認してください。送信元アドレスは偽装できますし、社長のアカウントが乗っ取られている可能性もあります。特に緊急・秘密・高額という三要素がそろっていたら要注意です。本物の社長なら、電話で確認しても怒りません。確認する前に送金してしまった場合は、すぐに振込先銀行に連絡して送金停止を依頼してください。

Q 個人がホエーリングの被害に遭うことはありますか？: A

中小企業の経営者・財務担当者・個人事業主も十分に標的になりえます。また、経営幹部を騙す側面だけでなく、経営幹部を装って一般従業員に送金指示を出す手口もあり、この場合は一般社員が被害者になります。役職に関わらず、メール一本だけで完結する送金要求には応じないという習慣が、最も効果的な防御です。

Q ホエーリングとビジネスメール詐欺（BEC）の違いは何ですか？: A

ほぼ重なりますが、範囲が少し違います。ビジネスメール詐欺（BEC）は、企業のビジネスメールを悪用した詐欺全般を指す広い概念です。ホエーリングはBECの中でも、経営幹部を直接標的にしたり、経営幹部に成りすましたりする手口に特化したものです。BECという大きな枠の中に、ホエーリングという特定の手口が含まれると捉えると分かりやすいでしょう。