なりすましについて少しお話ししましょう。フィッシング」、「ビジネスメールの漏洩」、「サイバー犯罪」といった言葉を聞いて、まず頭に浮かぶのは何でしょうか?ほとんどの人は、メールセキュリティに関することを思い浮かべるでしょうし、あなたもそうかもしれません。今挙げた用語はいずれもサイバー攻撃の一種であり、犯罪者がソーシャル・エンジニアリングやその他のテクニックを使って機密情報や金銭にアクセスするものです。明らかにそれは悪いことであり、組織はそれに対して身を守るためにできる限りのことをすべきである。
しかし、これにはもう一つの側面があります。それは、一部の組織が単に考慮していないだけで、彼らにとっては同様に重要なことなのです。フィッシングは、データやお金を失うリスクが高いだけでなく、ブランドも同様に大きな損失を被る可能性があります。実際、その確率は63%にも上ります。これは、消費者がたった一度でも満足できない経験をすると、そのブランドの買い物をやめてしまう可能性があるということです。
フィッシングメールはブランドにどのような影響を与えるか?
フィッシングによって組織のシステムがどのように危険にさらされるかを理解することは非常に簡単です。しかし、1つのサイバー攻撃がもたらす長期的な影響については、あまり知られていません。そうではありません。
こんな風に考えてみてください。ほとんどの場合、メールをチェックしているユーザーは、自分が知っていて信頼している人やブランドからのメールをクリックしようとするはずです。そのメールが十分にリアルであれば、ユーザーは偽物とそうでないものの違いに気づかないでしょう。そのメールには、ユーザー名とパスワードを入力する、組織のログインポータルにそっくりなページへのリンクが貼られているかもしれません。
その後、自分のクレジットカード情報や住所が世間に流出したと聞けば、あなたの組織以外に頼るところはありません。結局のところ、災害を引き起こしたのは「あなたのメール」であり、あなたのセキュリティの欠如なのです。自分の顧客が自分のブランドとその信頼性を完全に失ってしまうと、ブランドの光学的な面で大きな問題を引き起こすことになります。あなたはハッキングされただけの会社ではなく、あなたが送ったメールによってデータが盗まれるのを許した会社なのです。
これが長期的に見て、貴社の収益に深刻な打撃を与えることは想像に難くありません。特に、新規の潜在的な顧客が、貴社の電子メールの被害者になることを恐れて敬遠する場合はなおさらです。サイバー犯罪者は、お客様のブランドに対する信頼と忠誠心を奪い、それを積極的に利用するのです。これこそが、ビジネス電子メール侵害(BEC)を単なる技術的なセキュリティ問題に終わらせない理由なのです。
最も打撃を受けた産業は何か?
製薬会社は、フィッシングやサイバー攻撃の標的となる頻度が最も高い企業の一つです。フォーチュン500社の製薬会社を対象とした調査によると、2018年の最後の3カ月だけで、各企業は平均して71件のメール詐欺攻撃に直面しました。それは、製薬会社が新しい化学物質や医薬品に関する貴重な知的財産を保有しているからです。攻撃者がこの情報を盗むことができれば、ブラックマーケットで売って高額な利益を得ることができます。
建設会社や不動産会社も遠くない。不動産パンフレットのデザインアイデアを盗むのが最も一般的です。特に金融サービス企業や金融機関は、慎重に計画されたビジネスだけでなく、VEC(Vendor Email Compromise)攻撃によって 、機密データや多額の資金を盗まれる脅威に常にさらされているのです。
これらの業界はすべて、お客さまがブランドを信頼してくれることで大きな利益を得ており、ブランドとの関係は企業とのビジネスにも直接影響します。もし消費者が、その企業が自分のデータやお金、その他の資産を安全に守る能力がないと感じたら、そのブランドにとっては不利益となり、時には取り返しのつかないことになるでしょう。
業界別のメールセキュリティについては、こちらをご覧ください。
ブランドを守るには?
マーケティングとは、ブランドイメージを構築し、オーディエンスの記憶に残るだけでなく、品質や信頼性を連想させるようなものにすることです。そのための第一歩がドメインの確保なのです。
サイバー犯罪者は、組織のドメインを偽装し、ブランドを装うことで、無防備なユーザーにメールを送信する際、あたかもあなたからのメールであるかのように見せかけます。どのメールが本物で、どのメールがそうでないかをユーザーが識別することを期待するのではなく(特に素人にはほとんど不可能です)、ユーザーの受信箱にこれらのメールが完全に入らないようにすることができます。
DMARCはメール認証プロトコルで、受信側メールサーバーの取扱説明書のような役割を果たします。あなたのドメインからメールが送信されるたびに、受信側のメールサーバーはあなたのDMARCレコード(あなたのDNSで公開されている)をチェックし、メールを認証します。メールが正当なものであれば、DMARC認証を「パス」し、ユーザーの受信トレイに配信されます。
不正な送信者からのメールである場合、DMARCポリシーによっては、そのメールは直接スパムに送られるか、あるいは完全にブロックされることもあります。
DMARCは、あなたのドメインから発信されるすべてのスパムメールをほぼ完全に排除することができます。なぜなら、偽のメールがあなたのドメインを出るときにブロックするのではなく、メールが受信者のサーバーに到着したときに真正性をチェックするからです。
すでにDMARCを導入していて、さらにブランドセキュリティを強化する方法を探しているなら、BIMI(Brand Indicators for Message Identification)があります。この新しいメールセキュリティ規格は、DMARCによって認証された自社ドメインからのすべてのメールの横に、ブランドのロゴを貼り付けるものです。
あなたが送ったメールを見た顧客は、あなたのロゴとあなたのブランドを結びつけ、ブランド想起度を高めます。そして、あなたのロゴを見たお客様は、あなたのロゴが付いたメールだけを信用するようになります。
- 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日
- PowerDMARCとZendata、ドメイン・セキュリティ強化のためのパートナーシップを締結- 2024年4月25日