CEO 詐欺、あるいは BEC（ビジネスメール詐欺）と呼ばれる、ソーシャルエンジニアリングを使った、あらゆる規模の企業を標的にする高度な詐欺をご存知でしょうか。これらの詐欺の最終的な目的は、銀行口座に不正送金させて、犯罪者が金銭を手に入れることであり、企業の幹部が標的になります。

この詐欺では、主として次の 3 つの主な攻撃方法が使われます。

• フィッシング
• スピアフィッシング
• エグゼクティブ「ホエーリング」

スピアフィッシングや特にエグゼクティブホエーリングについては、多額の金銭を手に入れる手段として使われます。犯罪者は多くの時間とリソースを費やして情報を収集し、標的を入念に選んで偵察します。偵察の過程では、標的とする（場合によっては複数の）相手の大量の情報を、複数の情報源（企業のホームページ、ソーシャルメディアのプロフィース、検索エンジン、電話などを使って、詳しい情報を収集したり、場合によっては勤務先などに出掛けて本人の写真を撮ったりすることもあります）から手に入れます。

これらの活動の目的は、標的の仕事ぶり、同僚、出張先、家族、趣味などに関するできるだけ詳しい情報を知って、何らかの弱みを見つけ、攻撃の成功率を高くすることにあります。

入念な準備が重要なのは、CEO 詐欺のような攻撃には、チャンスが 1 度しかなく、1 回で確実に成功させなければならないためです。さらには、犯罪者自身が不測の事態にも備える必要があります。

どのような人が、このような詐欺の標的になりやすいのでしょうか。

• 財務部門の責任者
• CEO／経営陣

このような人たちは、決済権があり、資金を手に入れることができます。さらには、これ以外にも、人事部門の責任者であれば、従業員に関する価値ある情報（社会保障番号、住所、電話番号、給料の詳細、緊急連絡先、さらには、医療や税金に関する情報など）にアクセスする権限があります。

BEC 攻撃が 1 度成功するだけで、多額の金銭を手に入れられる可能性があり、業界アナリストによれば、その金額は平均で 150,000 米ドルにもなるとされています。詳細は、FBI の最近のデータ：https://www.ic3.gov/media/2018/180712.aspx を参照してください。

法務部門の従業員を偽装したメールアドレスから、訴訟の可能性を匂わせる件名のメールが届けば、たとえ CEO であっても、高い確率でメールのリンクをクリックしてしまうでしょう。

犯罪者は、よく知っている企業や組織からの有効な電子メールのように見せかけた「偽装」電子メールを作成します。また、偽装された電子メールでは、送信元のプロパティが書き換えられていて、本当の送信元（FROM の名前／アドレス、REPLY-TO の名前／アドレスなど）がわからないようになっています。

一般的な IT セキュリティでは、次の 3 つの基本的な手段が、CEO 詐欺を含むサイバー脅威の対策となります。

• 人
• プロセス
• ツールとテクノロジ

企業にとって不可欠であるのは、IT セキュリティの意識向上につながるトレーニングに投資して実施し、従業員全員が「人間のファイアウォール」となるようにすることであり、そうすることで、あらゆる規模の企業や政府機関の従業員がフィッシングメールを見分ける力と基本的な IT セキュリティの概念と知識を身につけられるようになります。人間は、どのような組織にとっても不可欠な、最前線のセキュリティ対策となります。

フィッシングや電子メール詐欺の具体的な例が下記の記事に紹介されていますので、参考にしてください。ここで紹介されている例をさまざまな方法で共有することをお勧めします。セキュリティ意識の向上と同僚、家族、友人への周知にあたっては、我々一人一人が重要な役割を果たすことになるのです。

https://www.lifewire.com/what-phishing-and-email-scams-look-like-4064080 (英文)

プロセスという点では、データのバックアップと古いソフトウェアへの定期的なパッチの適用が極めて重要であり、これについては、Secplicity でも詳しく説明しているとおりです。

テクノロジという点では、ウォッチガードは、無線、アイデンティティ、ネットワークを保護するさまざまな機能を提供しています。フィッシング対策においては、Total Security Suite の他のサービスと組み合わせて利用できる DNSWatch が、間違いなく重要な役割を果たすことになるでしょう。watchguard.com では、さまざまな役に立つ情報と事例をご紹介しています。併せて参照してください。