「CEO詐欺」
CEO詐欺の定義
CEO詐欺は、ビジネスメール詐欺(BEC)とも呼ばれ、高位の役員や企業の指導者を装った攻撃者が、従業員を欺いて不正なアカウントに資金や機密情報を送金させるサイバー犯罪の一種です。この形態のソーシャルエンジニアリングは、組織内の信頼と権威を悪用して金融詐欺を行います。
CEO詐欺の仕組み
CEO詐欺は通常、以下のステップを含みます:
メールスプーフィング: 攻撃者は、CEOや他の経営陣から送信されたように見える偽のメールを作成し、類似の送信者名やメールアドレスを使用します。また、メールヘッダーを操作してメッセージの不正を検出しにくくすることもあります。
なりすまし: 詐欺の信頼性を高めるために、攻撃者はCEOのコミュニケーションスタイルを模倣したり、内部情報を利用して要求を本物らしく見せたりすることがあります。具体的な専門用語や個人情報を使用したり、CEOの文体を模倣したりすることが含まれます。
緊急の要求: 犯人は緊急性を創造し、従業員に即座の支払いを求めたり機密データを開示するよう指示することがよくあります。タイムセンシティブなビジネスチャンスがあると主張したり、重大な問題を解決する必要があると述べることがあります。
操作的手法: 攻撃者は、高レベルの役員に関連する信頼と権威を利用して、従業員を操作し不正な要求に従わせます。また、恐怖、威圧、忠誠心への訴えなどの心理的手法を使用し、通常のセキュリティプロトコルを無視するよう従業員を説得します。
送金: 一度従業員が騙されたら、CEOの指示に従っていると思わせて攻撃者の口座に資金を送金させます。資金は通常、追跡が難しいオフショア口座やマネーミュールに流れます。
予防策
組織はCEO詐欺から身を守るためにいくつかの対策を講じることができます:
検証プロトコル: 特に高額な金融取引や機密情報の要求に対して、徹底的な検証プロセスを導入します。追加承認を求めること、既知の連絡先情報と要求を照合すること、または大きな振込に対しては対面または電話での検証を行うことが含まれます。
従業員トレーニング: CEO詐欺のリスクを従業員に教育し、高位の役員からの異常な要求を二度確認する重要性を強調します。別の通信チャンネルを使用して要求を確認するか、悪意の可能性を疑った場合はマネージャーに相談するよう従業員に奨励します。
多要素認証 (MFA): 金融取引を承認する際にMFAを利用することを要求し、攻撃者がアカウントを乗っ取るのを困難にします。MFAは、ユーザーがパスワードに加えて、モバイルデバイスに送信されるユニークなコードなどの追加認証を提供することを要求し、セキュリティの追加層を加えます。
メール認証: Domain-based Message Authentication, Reporting & Conformance (DMARC)などのメールセキュリティ対策を採用し、メールスプーフィングを検出して防止します。DMARCは、送信者のドメインとメールのヘッダーを一致させることで受信メールの信憑性を確認します。これにより、従業員の受信トレイに到達する前に不正なメールを特定してブロックすることができます。
サイバーセキュリティ意識: 組織内でサイバーセキュリティ意識の文化を育成します。従業員にCEO詐欺やその他のセキュリティ脅威に関する最新のトレンドを定期的に更新します。疑わしい活動の報告を奨励し、懸念を提起したり潜在的な詐欺を特定したりした従業員を表彰します。
これらの予防策を実施することで、組織はCEO詐欺の被害に遭うリスクを軽減し、財務資産と機密情報を保護することができます。
関連用語
フィッシング: CEO詐欺に関連する様々なサイバー犯罪手法を包括するより広い用語。フィッシングは、個人を欺いて機密情報を公開させたり、悪意ある行動を取らせたりするために、偽のメールやウェブサイトやその他の形態の通信を介して行う手法を指します。
ソーシャル・エンジニアリング: 個人を欺いて機密情報を公開させたり特定の行動を取らせたりするための操作的手法。ソーシャルエンジニアリングの手法は、通常、信頼、権威、恐怖などの心理的脆弱性を利用して、不正にシステムやデータにアクセスします。CEO詐欺は、高位の役員や従業員を標的とするソーシャルエンジニアリングの特定の形態です。