フィッシング

なりすましについて少しお話しましょう。フィッシング」、「ビジネスメールの漏洩」、「サイバー犯罪」などの言葉を聞いて、真っ先に頭に浮かぶのは何でしょうか?ほとんどの人は、メールセキュリティに関することを思い浮かべるでしょうし、あなたもそうかもしれません。先ほど挙げた言葉は、いずれもサイバー攻撃の一種であり、犯罪者がソーシャルエンジニアリングなどの手法を用いて機密情報や金銭にアクセスするものです。もちろん、それは悪いことであり、組織はそれから身を守るためにできる限りのことをすべきです。

しかし、これにはもう一つの側面があります。それは、一部の組織が単に考慮していないだけで、彼らにとっては同様に重要なことなのです。フィッシングは、データやお金を失うリスクが高いだけでなく、ブランドも同様に大きな損失を被る可能性があります。実際、その確率は63%にも上ります。これは、消費者がたった一度でも満足できない経験をすると、そのブランドの買い物をやめてしまう可能性があるということです。

フィッシングメールはブランドにどのような影響を与えるか?

フィッシングによって組織のシステムがどのように危険にさらされるかを理解することは非常に簡単です。しかし、1つのサイバー攻撃がもたらす長期的な影響については、あまり知られていません。そうではありません。

こんな風に考えてみてください。ほとんどの場合、メールをチェックしているユーザーは、自分が知っていて信頼している人やブランドからのメールをクリックしようとするはずです。そのメールが十分にリアルであれば、ユーザーは偽物とそうでないものの違いに気づかないでしょう。そのメールには、ユーザー名とパスワードを入力する、組織のログインポータルにそっくりなページへのリンクが貼られているかもしれません。

その後、自分のクレジットカード情報や住所が世間に流出したと聞けば、あなたの組織以外に頼るところはありません。結局のところ、災害を引き起こしたのは「あなたのメール」であり、あなたのセキュリティの欠如なのです。自分の顧客が自分のブランドとその信頼性を完全に失ってしまうと、ブランドの光学的な面で大きな問題を引き起こすことになります。あなたはハッキングされただけの会社ではなく、あなたが送ったメールによってデータが盗まれるのを許した会社なのです。

これが長期的に見て、貴社の収益に深刻な打撃を与えることは想像に難くありません。特に、新規の潜在的な顧客が、貴社の電子メールの被害者になることを恐れて敬遠する場合はなおさらです。サイバー犯罪者は、お客様のブランドに対する信頼と忠誠心を奪い、それを積極的に利用するのです。これこそが、ビジネス電子メール侵害(BEC)を単なる技術的なセキュリティ問題に終わらせない理由なのです。

最も打撃を受けた産業は何か?

製薬会社は、フィッシングやサイバー攻撃の標的となる頻度が最も高い企業の一つです。フォーチュン500社の製薬会社を対象とした調査によると、2018年の最後の3カ月だけで、各企業は平均して71件のメール詐欺攻撃に直面しました。それは、製薬会社が新しい化学物質や医薬品に関する貴重な知的財産を保有しているからです。攻撃者がこの情報を盗むことができれば、ブラックマーケットで売って高額な利益を得ることができます。

また、建設会社や不動産会社も同様です。特に金融サービス企業や金融機関は、慎重に計画されたビジネスやVEC(Vendor Email Compromise)攻撃 によって、機密データや多額の資金が盗まれるという脅威に常にさらされています。

これらの業界はすべて、お客さまがブランドを信頼してくれることで大きな利益を得ており、ブランドとの関係は企業とのビジネスにも直接影響します。もし消費者が、その企業が自分のデータやお金、その他の資産を安全に守る能力がないと感じたら、そのブランドにとっては不利益となり、時には取り返しのつかないことになるでしょう。

業界別のメールセキュリティについては、こちらをご覧ください。

ブランドを守るには?

マーケティングとは、ブランドイメージを構築し、オーディエンスの記憶に残るだけでなく、品質や信頼性を連想させるようなものにすることです。そのための第一歩がドメインの確保なのです。

サイバー犯罪者は、組織のドメインを偽装し、ブランドを装うことで、無防備なユーザーにメールを送信する際、あたかもあなたからのメールであるかのように見せかけます。どのメールが本物で、どのメールがそうでないかをユーザーが識別することを期待するのではなく(特に素人にはほとんど不可能です)、ユーザーの受信箱にこれらのメールが完全に入らないようにすることができます。

DMARCは、受信側のメールサーバーにとって取扱説明書のような役割を果たすメール認証プロトコルです。あなたのドメインからメールが送信されるたびに、受信側のメールサーバーは、あなたのDMARCレコード(あなたのDNS上で公開されている)をチェックし、メールを検証します。そのメールが正当なものであれば、DMARC認証を「パス」して、ユーザーの受信箱に届けられます。

未承認の送信者からのメールであれば、DMARCポリシーに応じて、そのメールは直接スパムに送られるか、あるいは完全にブロックされてしまいます。

DMARCの仕組みについてはこちらをご覧ください。

DMARCは、あなたのドメインから発信されるすべてのスパムメールをほぼ完全に排除することができます。なぜなら、偽のメールがあなたのドメインを出るときにブロックするのではなく、メールが受信者のサーバーに到着したときに真正性をチェックするからです。

すでにDMARCを導入していて、さらにブランドセキュリティを強化する方法を探しているなら、BIMI(Brand Indicators for Message Identification)があります。この新しいメールセキュリティ規格は、DMARCによって認証された自社ドメインからのすべてのメールの横に、ブランドのロゴを貼り付けるものです。

あなたが送ったメールを見た顧客は、あなたのロゴとあなたのブランドを結びつけ、ブランド想起度を高めます。そして、あなたのロゴを見たお客様は、あなたのロゴが付いたメールだけを信用するようになります。

BIMIの詳細はこちら