そのメールは上司からのものではない:CEOの不正行為を阻止する6つの方法
by
読書時間 4 分
最悪のフィッシング詐欺は、CEO詐欺のように無視することができないものです。政府からのメールと思われるもので、未納の税金を払わなければ法的措置を取るというもの。学校や大学から送られてきたと思われるEメールで、払いそびれた授業料を支払うように要求される。あるいは、上司やCEOから「好意で」お金を振り込むようにというメッセージもあります。
主なポイント
- CEO詐欺は重大な脅威であり、確信犯的なフィッシングメールによって毎年数百万ドルの損失が発生している。
- フィッシングの手口や警告サインについて従業員を教育することは、CEOによる詐欺攻撃を防ぐために極めて重要である。
- DMARCのような電子メール認証プロトコルは、不正な電子メールが受信トレイに届く前にブロックするのに役立ちます。
- 電子メールで依頼された電信送金を処理する前に、必ず別の経路で明確な承認を求めること。
- 類似したドメイン名からのメールを監視し、フラグを立てることで、フィッシングの被害に遭うリスクを減らすことができる。
CEO Fraudとは?
CEO詐欺攻撃は、詐欺師が企業のCEOになりすまし、従業員に金銭を送金させようとするフィッシングメール詐欺のことです。このメールには、通常、企業のCEOの本名と役職名が記載されています。
このようなメールの問題点は、政府や大学の理事会、職場の上司などの権威者になりすましていることです。彼らは重要な人物であり、彼らのメッセージを無視すれば、ほぼ間違いなく重大な結果を招きます。だから、見ざるを得ないし、説得力があると思えば、実際に騙されてしまうかもしれない。
PowerDMARCでCEOの不正を防ぐ!
CEOの不正とは無縁ではない
毎年23億ドルの詐欺事件が発生しています。単純なメール詐欺で、何が企業にそれだけのお金を失わせることができるのか?"と疑問に思うかもしれません。しかし、CEOの詐欺メールがどれほど説得力があるか、驚くことでしょう。
2016年、マテル社はフィッシング攻撃により300万ドルの損失を出しそうになりました。財務担当役員がCEOからメールを受け取り、中国にあるベンダーの一つに支払いを送るよう指示されました。しかし、後になってCEOに確認したところ、メールを送っていなかったことが判明したのです。幸い、この会社は中国と米国の法執行機関と協力して、数日後にお金を取り戻しましたが、このような攻撃が起こることはほとんどありません。
このような詐欺は自分には起こらないと思いがちですが、実際に起こってみるとそうでもないのです。そして、それが最大の間違いであり、CEOの詐欺に備えていないということなのです。
フィッシング詐欺は、組織に何百万ドルもの損害を与えるだけでなく、ブランドの評判や信頼性に永続的な影響を与える可能性があります。メール詐欺で損失を出した企業と思われたり、重要な個人情報を保管している顧客の信頼を失ったりする危険性があります。
事後の対応に追われるのではなく、今回のようなスピアフィッシング詐欺からメールチャネルを保護する方がはるかに意味があります。ここでは、FBIが発表したBECに関するレポートで、あなたの組織が統計対象にならないようにするための最善の方法をいくつかご紹介します。
CEOの不正を防ぐには6つのシンプルなステップ
- セキュリティについてスタッフを教育する
これは絶対に重要です。従業員、特に財務部門の従業員は、ビジネスメール詐欺の仕組みを理解する必要があります。パスワードを付箋に書き留めてはいけないという退屈な2時間のプレゼンテーションのことではありません。偽メールであることを示す不審な兆候を見逃さないこと、なりすましのメールアドレスに注意すること、他のスタッフがメールを通じて行っていると思われる異常なリクエストに注意することなどをトレーニングする必要があります。 - なりすましの兆候に気をつけよう
電子メール詐欺師は、あらゆる手口を使って、あなたをその要求に従わせようとします。何も考えずに素早く行動するように仕向けるための緊急の送金依頼や指示、あるいは、上層部がまだあなたに教える準備ができていない「秘密のプロジェクト」のための機密情報へのアクセスを求めるなど、その内容は多岐にわたります。これらは重大な赤信号であり、行動を起こす前に二重三重にチェックする必要がある。 - DMARCで守る
フィッシング詐欺を防ぐ最も簡単な方法は、そもそもメールを受け取らないことです。DMARCはメール認証プロトコルで、あなたのドメインから送信されたメールを検証してから配信します。あなたのドメインにDMARCを導入すると、あなたの組織の誰かになりすました攻撃者は、不正な送信者として検出され、そのメールは受信トレイからブロックされます。なりすましメールに対処する必要はまったくありません。
DMARCとは何かについて説明します。
- 電信送金の明示的な承認を得る
これは、間違った相手への送金を防ぐための、最も簡単で分かりやすい方法の一つです。取引を行う前に、電子メール以外の方法で、送金を依頼した相手から明確な承認を得ることを義務づけてください。大規模な送金の場合は、口頭での確認が必須となります。 - 似たような拡張子のメールにフラグを立てる
FBIは、自社の拡張子と酷似した拡張子を使用するメールに自動的にフラグを立てるシステム・ルールを作成することを推奨しています。例えば、あなたの会社が「123-business.com」を使用している場合、システムは「123_business.com」のような拡張子を使用したメールを検出してフラグを立てることができます。 - 似たようなドメイン名を購入する
攻撃者は、よく似たドメイン名を使ってフィッシングメールを送信します。例えば、あなたの組織の名前に小文字の「i」が含まれている場合、攻撃者は大文字の「I」を使ったり、アルファベットの「E」を数字の「3」に置き換えたりするかもしれません。こうすることで、極端に似たドメイン名を使ってメールを送ってくる可能性を低くすることができます。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- スパイウェアを防ぐには?- 2025年4月25日
- Customer.ioのSPF、DKIM、DMARCの設定方法- 2025年4月22日
- QRフィッシングとは?QRコード詐欺の検知と防止方法- 2025年4月15日
