CEO詐欺はスピアフィッシング攻撃の一種であり、ハッカーはメールを介してCEOになりすまし、ターゲットが取引(通常金銭的なもの)を実行するように仕向けます。最も大きな損害をもたらすメール攻撃の一つであるCEO詐欺はビジネスメール詐欺の一形態ですが、2019年に米国ビジネスに17億ドルの損害を及ぼしました。
CEO詐欺は、ギフトカード詐欺から電信送金詐欺まで多岐にわたります。そして多くの場合、数百万ドルという金額がハッカーの銀行口座に振り込まれてからかなりの時間が経過した後で、企業は過ちに気づきます。成功するチャンスを高めるために、ハッカーは多くの手口を使います。中には技術的なものもありますが、大半は心理操作を用いたものです。
プレッシャーを与える
ギフトカード詐欺は、実行するのが最も簡単で追跡が最も困難な詐欺の一つです。この理由から、ギフトカード詐欺は世界で最も広まったスピアフィッシング攻撃の一つとなり、即時のROIを提供する詐欺となりました。
CEOを装ったハッカーは、通常現在ミーティング中だが、顧客に進呈するギフトカードを至急手配しなければならないと主張します。たいていの場合、ハッカーはそのギフトカードが従業員へのサプライズだと告げて、この依頼を秘密にしておくように被害者を操ります。これがうまくいかなかったらCEOに対して極まりが悪くなったり、失望されたりするかもしれないという思いが被害者の心によぎります。これは被害者に強いプレッシャーをかけることになります。
最も成功するビジネスメール詐欺攻撃には、念入りに作られたスピアフィッシングメールが付き物です。しかし、それらの攻撃を本当に成功に導いているのは、詐称した送信者の身元と影響力です。平均的なユーザーは、それが会計のジョンからの依頼であったならギフトカードの購入を実行する前にそれについてじっくり考えるかもしれません。しかし、それがCEOからの依頼であったなら、すぐに対応する可能性が高くなります。
CEO詐欺の被害者の多くは、それ以前にCEOと関わった経験がほとんどありません。これらのケースで被害者を責めて、しっかりと確認するべきだったと言うのは簡単です。実際には、このメールは被害者の警戒心を緩めるため、被害者は詐欺に引っかかりやすくなります。この金銭的な依頼が被害者とCEOの初めてのやり取りであれば、被害者はプレッシャーを感じると同時にCEOを喜ばせたいと思うでしょう。
プリテキスティングとソーシャルエンジニアリング
被害者の多くは、普段CEOとのやり取りに慣れていない人たちです。彼らは、CEOの言動などのコミュニケーションスタイルや習慣をよく知りません。実際のCEOは決してそのようなやり取りや依頼をすることはないかもしれませんが、その被害者はそのことを知らないため、ハッカーにとって好都合なのです。
ソーシャルエンジニアリングに共通する手口の一つであるプリテキスティングは、ハッカーと被害者のやり取りのきっかけを作り、ゆっくりと被害者への要求を開始します。また、これによりハッカーは期待を抱かせたり(この件について誰にも話さないように、これはサプライズなのです)、ハッカーを成功に導くような付加的な情報を提供させて情報収集したりすることができます。
CEO詐欺の中には、最終的な要求を突きつけるまでハッカーが何度も被害者にメールを送信するケースがあります。事の進展をチェックして、だれもこの取引に気づいてないことを確認し、取引が完了するまでプレッシャーをかけ続けます。
モバイル端末からメールを送信する
CEOは多忙な人々です。ですから、オフィスを留守にしてイベントに参加していたり、顧客を訪問中であったり、または国外に居たりする重役からメールを受信するのは珍しいことではありません。スピアフィッシングメールを携帯端末から送信することで、ハッカーはCEOが外出中だという印象を与えることができます。これは、さまざまな形でハッカーに利点をもたらします。
まずハッカーは、CEOがおそらく自分のノートパソコンもないような普段と勝手の違う状況におかれていて、助けが必要だという幻想を生み出すことができます。次に、ハッカーがメールで間違いをする余地が生まれます。というのは、携帯端末上では文法やスペルミスはよくあることで、(ある程度は)許されることだからです。
最後に、なりすましメールが見落とされる可能性が高くなります。ハッカーがCEOの名前のみで会社のドメインになりすましていない場合、CEOは間違って個人のアカウントからメールを送信したのだと被害者が信じるのは理にかなっています。
ディープフェイク
ビジネスメール詐欺の世界で比較的新しいディープフェイクは、非常に効果的であると同時に多大な費用がかかることが証明されています。(ハッカーにとって)さらによいことに、CEOの声色を真似るために利用できる人工知能に基づいたツールの類が市場に出回っています。
The Wall Street Journalによれば、2019年にイギリスのエネルギー会社のCEOがドイツにある同社の親会社の最高責任者から電話を受けました。ただし、それは本物の最高責任者ではありませんでした。その正体は、ディープフェイクソフトウェアを使ったハッカーであり、ドイツの親会社の最高責任者の声を真似て、電信送金によってサプライヤーへ支払をするように依頼しました。結果として、そのハッカーに24万3000ドルが支払われましたが、その後すぐに電話でさらなる支払依頼があったことを不審に思ったCEOは、これが詐欺だと気づいたのです。
ディープフェイクソフトウェアは豊富に存在し、効果的で安価で入手できるため、企業はそれに対処できていません。Computer Weeklyによれば、サイバーセキュリティの意思決定者の77パーセントがディープフェイクを懸念していますが、その防衛対策をもっているのはわずか28パーセントです。
CEO詐欺を予防する
スピアフィッシング対策技術は、大きな進展を遂げていますが、CEO詐欺の心理的な性質に対処するには、いくつかの予防対策を組み合わせることが必要です:
ユーザートレーニング:ソーシャルエンジニアリング技術やさまざまな種類のビジネスメール詐欺を特定できるようにユーザーをトレーニングしましょう。定期的なトレーニングだけでなく、ユーザーが悪意のあるメールを開封したり、そのメールに反応したりしてしまった時にすぐにトレーニングを提供しましょう。
確認手続き:金銭的な取引の依頼を確認する手続きを実施しましょう。例えば、メールで金銭的な依頼を受信したら、その後直接対面するか、または電話でその依頼を確認しましょう。
技術:お使いのスピアフィッシング対策ソリューションをDMARCや従来の検出機能を上回るソリューションにアップグレードしましょう。カズンドメインや表示名のなりすましなど、DMARCをすり抜けてしまう検出困難ななりすまし技術を特定できるソリューションを導入することが必要です。
スピアフィッシングであれ、CEO詐欺であれ、またはビジネスメール詐欺であれ、どのような標的型のメール攻撃にも似通った特徴や行動、言葉遣いが見られます。人工知能(AI)が検出に優れているのはその点です。
メールトラフィックやメール内の悪意のある行動を調べることによって、AIアルゴリズムは、統計的なソリューションやFingerprintソリューションが見逃してしまう脅威を検出できます。Vadeは二種類のマシンラーニング技術を用いてスピアフィッシングとCEO詐欺を検出します。
- 異常の検出:データセット(この場合、組織内のメールトラフィック)の異常値や特異な行動を特定します。時間の経過とともに、組織内の通常の送受信の行動とそうでないものを学習して、カズンドメインや表示名のなりすましなどの異常を特定します。
- 自然言語処理:CEO詐欺やスピアフィッシングでよく使われる言葉や文、特に緊急性を示す言葉や金銭的な依頼に関連する言い回しを検出します。
Vade for Microsoft 365は、不審なメールを開封した時に表示される警告バナーを使って、スピアフィッシング攻撃の可能性をユーザーに注意を喚起します。これは、さもなければ見逃していたかもしれない危険の兆候を検討するのに必要な時間をユーザーに与えます。さらに、メールに異常があってもそれが本物のメッセージである場合は、そのメールが間違って分類されたり阻止されたりすることはないため、会社の重要なコミュニケーションはきちんと伝達されます。
