標準のOutlookはHIPAAに準拠していますか？

いいえ。標準のOutlookはHIPAA準拠ではありません。適切に構成された場合、Microsoft 365 E3 またはそれ以上のエディションのみがHIPAA準拠をサポートできます。

Office 365はデフォルトでHIPAA準拠ですか？

いいえ。Office 365はHIPAA要件を満たすために、暗号化、多要素認証（MFA）、監査ログ記録、データ漏洩防止（DLP）ポリシー、および署名済みビジネスアソシエーション契約（BAA）を必要とします。

HIPAA準拠にはどのMicrosoft 365サブスクリプションが必要ですか？

Microsoft 365 E3 またはそれ以上のプラン。下位プランでは、HIPAA 準拠のメール暗号化およびコンプライアンス管理機能が必要です。

TLS暗号化のみではHIPAAの電子メール要件を満たしますか？

いいえ。TLSは送信中のメールを保護しますが、PHIに対する完全なエンドツーエンド暗号化を提供しません。

OutlookのHIPAA設定にはどのくらい時間がかかりますか？

基本設定には2～4週間、トレーニングとテストを含む完全な導入には4～8週間を要します。

OutlookのHIPAA準拠にかかる費用はいくらですか？

通常、Microsoft 365 E3 はユーザーあたり月額 12～20 ドルです。必要に応じてオプションのセキュリティツールを追加する場合、設定内容に応じてユーザーあたり月額 5～10 ドルが追加される可能性があります。

Outlookを使用すべきか、それとも専用のHIPAA準拠メールソリューションを使用すべきでしょうか？

ITの専門知識があればOutlookは機能します。専用ソリューションはよりシンプルで、継続的な管理も少なくて済みます。

保険金詐欺は受信トレイから始まる：なりすましメールが保険金横領を可能にする仕組み

主なポイント

請求詐欺は、多くの場合、独立した攻撃ではなく、正当なメールのやり取りの中から始まります
攻撃者はタイミングを見計らい、支払いや更新が行われると予想されるタイミングでリクエストを送り込む
見覚えのある差出人であっても、なりすまされたり、アカウントが乗っ取られたりする可能性があります
支払いおよび銀行口座情報の変更は、ワークフローの中で最もリスクの高いポイントです
電子メール認証と厳格な確認プロセスを組み合わせることが、不正防止の鍵となります

保険金詐欺は、必ずしも仕組まれた事故や偽の負傷報告から始まるわけではありません。

時には、ごく普通のメールから始まります。保険査定人が追加の書類を求め、被害者が新しい住所を返信し、復旧業者が修正した請求書を送ってくる。この一連の流れには何ら不自然な点はありません。だからこそ、うまくいくのです。

保険チームは、書類の流れを円滑に進めるために組織されています。嵐の後や賠償責任の急増、労災保険の処理遅延が発生した際には、担当者は見積書、添付書類、承認、支払いの詳細などを迅速に処理します。実際の保険金請求案件内でメッセージが届くと、そのメッセージは周囲のワークフローの信頼性を引き継ぐことになります。

そのため、受信トレイは詐欺師にとって格好の標的となります。既存のやり取りに割り込んで、金銭や書類、あるいは信頼を悪用することができれば、彼らは一から口実を作り出す必要がないからです。

なぜ保険金請求業務は悪用されやすいのか

保険金請求業務には、攻撃者が好む3つの要素があります。それは、緊急性、反復性、そしてメールによる頻繁な調整です。1件のファイルだけで、被保険者、ブローカー、保険査定人、財務担当者、修理業者、外部弁護士などが関与する場合があります。大規模災害（CAT）が発生した場合、1つの共有メールボックスだけで、正午までに数十件ものほぼ同一の依頼が処理されることもあります。

だからこそ、保険業務においては、サイバー犯罪と保険金詐欺の関連性が極めて自然な形で現れるのです。犯罪者がメールボックスや請求書、あるいは取引先とのやり取りにアクセスできれば、大々的な情報漏洩事件を起こす必要はありません。彼らは実際の支払い時期を待ち、人々がすでに動きを予期している場面に巧妙に割り込んでくることができるのです。

DMARCとは何かを理解しているチームは、これが単なる配信率の問題にとどまらないことをすでに認識しています。DMARCはSPFやDKIMと連携し、ドメイン所有者が自ドメインを使用してメールを送信することを許可された主体を検証し、検証に失敗したメッセージに対して受信サーバーがどのような対応を取るべきかを決定するのに役立ちます。これはクレーム対応において重要な意味を持ちます。なぜなら、なりすまし攻撃は、総当たり攻撃による妨害行為よりも利益をもたらすことが多いからです。

支払い金横領は実際にはどのように行われるのか

雹害を受けた物件の保険金請求の場面を想像してみてください。業者が緊急の被害軽減作業を終え、保険査定人が見積書を承認し、財務部門が28,400ドルの支払いを待機している状況です。この一連のプロセスに関わるメールボックスの1つにアクセスできる攻撃者は、数日間静かに様子をうかがった後、業者が取引銀行を変更した旨を伝える短いメモを送り、更新された送金依頼書を添付します。

そのメールは派手である必要はありません。チームが最終請求書やACH決済の確認を待っているまさにそのタイミングで届くだけでよいのです。FBIのIC3が発表したビジネスメール詐欺（BEC）に関する注意喚起によると、2013年10月から2023年12月までの間に、BECに関連して報告された被害総額は世界全体で550億ドルを超えました。この数字を見れば、「単純な」支払先変更のメールであっても、決して日常的な事務処理として扱ってはならない理由が理解できるでしょう。

この仕組みはわざと退屈に作られている：

正当な請求であれば、氏名、請求番号、添付ファイルを含む実際のメールのやり取りが記録されます。
攻撃者は、フィッシング、再利用された認証情報、またはメールボックスの転送ルールを悪用してアクセス権を取得します。
彼らは、支払い、払い戻し、あるいは決済のタイミングが、その要求を信憑性のあるものにするまで待ちます。
似通ったアカウントや乗っ取られたアカウントから、修正された請求書、銀行振込依頼書、または支払い指示が送信されます。
別の経路を通じて変更が確認される前に、資金が移動してしまう。

このパターンは、労災保険、賠償責任保険、商用自動車保険、および代位求償においても同様に見られます。あるメッセージによって、支払いの対象者、機密文書の送付先、あるいはどの記録が真正なものとして扱われるかといった点が変更される可能性がある場合、その請求にはすでに悪用されるだけの十分な価値があると言えます。

差出人が見覚えのある人だと、人は何を見落としてしまうのか

多くのチームは、粗雑なフィッシングメールを見抜く方法を知っています。より厄介なのは、95％は本物そっくりに見えるメッセージです。なりすまし犯は、ドメイン名の一文字をすり替えたり、既存のスレッド内で返信したり、ベンダーが普段使っているのと同じ口調を使ったりすることがあります。

だからこそ、レビューにおける最良の習慣は「文法の誤りを探す」ことではなく、「その依頼がワークフローに合致しているかを確認する」ことです。18か月間同じドメインを使用してきた修理業者が、支払いの1時間前に突然、新しいアドレスから銀行口座変更の通知を送るべきではありません。また、普段はセキュアなポータルを通じてPDFを送信している請求人の弁護士が、突然、携帯電話から一行の返信で和解手続きの指示を求めるべきではありません。

保険関連のファイルに見られるフィッシングの兆候の多くは、一見すると気づきにくいものです。例えば、返信先アドレスの変更、普段とは異なる添付ファイルの種類、「これがより迅速です」という理由で通常のポータルを迂回するよう求める指示、あるいは直前の急ぎの連絡などです。これらは些細な点に思えるかもしれませんが、保険金請求のワークフローにおいては、こうした点が通常の処理と不正な迂回との分かれ目となることがよくあります。

FBIが発表したビジネスメール詐欺に関する指針では、実践的なルールが明確に示されています。それは、支払い情報や口座情報の変更については別の連絡手段で確認すること、送信者アドレスの全文を確認すること、そして特に「至急」を強調する要求には細心の注意を払うことです。優れた保険金請求対応チームは、メッセージが馴染みのあるものに見えてもこのルールを遵守します。なぜなら、見慣れた形式を装った詐欺こそが、攻撃の狙いだからです。

より安全な保険金請求プロセスが実際にどのように機能するか

優れた保険金請求ワークフローとは、すべてのメールを緊急事態のように扱うものではありません。詐欺による損失が大きくなる場面――口座情報の変更、支払指示、請求書の修正、機密文書の転送――にのみ、適切な手続き上のハードルを設けるものです。

まずは送信ドメイン側から確認しましょう。ドメインアナライザーで簡単にチェックするだけで、送信ドメインにDMARC、SPF、DKIM、および関連する制御機能に関して明らかな認証上の不備があるかどうかが判明します。PowerDMARCは、フィッシング、スプーフィング、詐欺、なりすましによるリスクの特定に特化したツールです。これは非常に有用です。なぜなら、保険金請求詐欺は、台帳上の支払い問題に誰かが気付くずっと前に成立してしまうことが多いためです。

次に、請求処理プロセス内の引き継ぎルールを厳格化します。支払承認後、支払実行前に銀行情報の変更が発生した場合は、通常のステータス更新とは異なる処理フローを適用する必要があります。例えば、1,200ドルの払い戻し請求に関する案件であれば、迅速な折り返し連絡が必要となるでしょう。一方、40,000ドルの決済修正に関する案件であれば、折り返し連絡に加え、同営業日中に第二の承認者による承認が必要となる場合があります。

実用的な制御セットは通常、次のような形になります：

送金やACHの変更については、メールに記載されている電話番号ではなく、登録済みの電話番号を用いて確認が行われます。
ベンダーのオンボーディングから30日以内に支払先情報の変更があった場合は、上層部へ報告されます。
共有の受信トレイでは、外部アドレスへの自動転送は許可されていません。
財務部門と保険金請求部門では同じ確認チェックリストを使用しているため、攻撃者が脆弱なチームを標的にすることはできません。
確認済みの銀行変更はすべて、日付、確認担当者、およびコールバックの結果とともに記録されます。

ここでもメール認証は重要です。Googleの送信者ガイドラインでは、個人のGmailアカウントへ一斉送信を行う送信者に対し、SPFおよびDKIMの使用、DMARCの公開、ならびにFromヘッダーの組織ドメインをSPFまたはDKIMと一致させることを求めています。これらの要件は大規模な送信における送信者の信頼性を確保するためのものでありますが、同様の取り組みは、保険会社にとってもなりすましリスクの低減や、従業員がメッセージの正当性を判断する際に頼る情報を整理するのに役立ちます。

優れた保険チームは、実際の案件を用いてプロセスを検証します。最近の損害保険の請求案件、労災保険の案件、および賠償責任保険の請求案件をそれぞれ1件ずつ取り上げてください。そして、それぞれの案件について率直な質問を投げかけてみてください。「もし今、支払額の変更を装った偽のメールが届いたとしたら、それは具体的にどこで、誰によって阻止されるのか？」もしその答えが曖昧であれば、その管理体制もまた曖昧だということになります。

まとめ

請求詐欺は、通常の業務プロセス上の不備が無害な事務上の雑音として扱われると、多大なコストを招くことになります。なりすましメールは、明らかな警告を発することなく、請負業者への支払いを転送させたり、決済を遅らせたり、あるいは請求者の機密情報を悪意ある第三者の手に渡らせたりする可能性があります。その対策は、多くの人が想像するほど劇的なものではありません。送信者の信頼性を厳格化し、検証ルールを明確にし、決して「日常業務」として放置してはならない局面を明確に定義するだけです。銀行情報の変更、請求書の修正、支払指示が常に確認の連絡と再検討を必要とするようになれば、攻撃者はタイミングの利点を失うことになる。今すぐ実際の保険金請求ワークフローを一つ選び、偽の支払変更メールが受信箱から支払処理へとどのように流れていくかをテストしてみよう。そして、次に一見普通に見えるメッセージが届く前に、その隙間を塞ぐのだ。

について
最新記事

Ahona Rudra

ドメインとメールセキュリティのエキスパートPowerDMARC

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

保険金請求詐欺は受信トレイから始まる：なりすましメールが、日常的な保険業務の流れを保険金横領へと変える仕組み

なぜ保険金請求業務は悪用されやすいのか

支払い金横領は実際にはどのように行われるのか

差出人が見覚えのある人だと、人は何を見落としてしまうのか

より安全な保険金請求プロセスが実際にどのように機能するか

まとめ

ツール

製品

会社概要