CEO詐欺とは？事例と対策

CEO詐欺はフィッシングの一種ですが、攻撃者は有名なWebサイトになりすますのではなく、標的となる企業のCEO（またはその他の上級幹部）になりすまします。CEO詐欺にはソーシャル エンジニアリングが含まれる場合もありますが、その多くは単一のフィッシング手法ではなく、複数の攻撃手法を組み合わせたものです。CEO詐欺の目的は、従業員を騙して攻撃者に送金させたり、知的財産や認証情報といった機密情報を送信させたりすることです。

フィッシング業界だけでも数十億ドルの規模がありますが、CEO詐欺もまた、攻撃者に多額の利益をもたらす詐欺です。FBIは、ビジネスメール詐欺（BEC）の被害総額を260億ドルと推定しており、その手口は拡大の一途をたどっています。またFBIは、2018年から2019年にかけて、CEO詐欺を含むBEC詐欺が100%増加したと報告しています。

標的となる企業は中小企業から大企業まで規模を問いませんが、不正送金先として利用される国の上位2カ国は中国と香港です。CEO詐欺は数カ国の企業を標的にしていますが、FBIの報告によると、その被害は米国や英国を含む177カ国に及び、詐欺に利用される銀行は約140カ国に点在しています。

なりすましメール（スプーフィング）とフィッシングは、CEO詐欺における2つの主要な攻撃手法ですが、より多額の金銭を狙うためにソーシャル エンジニアリングが組み込まれることがよくあります。企業のWebページやLinkedInを使用した偵察により、攻撃者は組織、従業員、役員の名前やメールアドレス、請求システムに関する大量の情報を入手します。通常、フィッシングメールは、人事や経理など、特定の部門の従業員を標的とします。

例えば、攻撃者は公式の企業ドメインとわずかに綴りが異なるドメイン名を登録します。その後、攻撃者はCEOの名前を使って経理担当の従業員にメールを送り、標的となったユーザーを説得して、攻撃者が管理する銀行口座へ送金させようとします。緊急性を高めるために、攻撃者はソーシャル エンジニアリングを利用して標的の従業員に電話をかけ、会計士などの組織の代表者になりすますこともあります。

巧妙な攻撃は、組織に数百万ドルの金銭的損失をもたらす可能性があります。いくつかの組織は、CEO詐欺やエグゼクティブ ホエーリングによって数百万ドルを失っています。組織は、少額の支払いを要求する複数の攻撃によって金銭を失うこともありますが、攻撃者が従業員を騙して6桁から7桁の送金を行わせるケースの方が一般的です。

影響は金銭的損失だけではありません。人事部門を標的とする攻撃者の中には、従業員を説得して個人を特定できる情報（PII）を第三者に送信させ、後に銀行詐欺や個人情報窃盗に利用する者もいます。ほとんどのコンプライアンス規制では、データ侵害が発生した後に顧客へ通知することが組織に義務付けられているため、CEO詐欺はブランドの評判失墜や訴訟費用につながる可能性があります。CEO詐欺に引っかかった従業員は、職を失うリスクがあります。特に、標的となった被害者が別の役員であった場合はなおさらです。

CEO詐欺は巧妙な攻撃と見なされており、その第一歩は標的となる組織を見つけることです。攻撃者は標的組織のサイトを閲覧し、役員や関連する従業員の名前を含む組織図や従業員の構成を探します。この偵察フェーズは、攻撃者が次の段階を実行するために十分な情報を収集するまで、数日間続くことがあります。

標的が決まると、次のステップとして、標的の公式ドメイン名の綴りとよく似たドメインを登録します。ドメインの登録が完了すると、攻撃者はCEOや上級幹部の名前を使用したメールアドレスを作成します。そして、接触を図るために標的のユーザーへメールを送信し、送金を指示します。

人事や財務部門の従業員の多くは、フィッシングメールを見分けるためのトレーニングを受けていますが、攻撃者は上級幹部からの緊急性を演出するために、巧みな手法を用います。従業員はドメイン名の綴りの間違いに気づくこともあれば、被害者となって送金を行ったり、機密情報を含んだ返信をしてしまったりすることもあります。

攻撃者にとって、CEO詐欺の主な標的は2つあります。機密情報にアクセスできる上級幹部と、送金を実行する権限を持つ従業員です。通常、CFO、CEO、COO、その他の上級幹部が標的となりますが、業務上の権限を持つすべての役員は、攻撃者がフィッシングやソーシャル エンジニアリングを駆使する多種多様な手口について認識しておく必要があります。

サイバーセキュリティの観点では、本来の標的に近い従業員を狙う方が効果的です。攻撃者は、上級幹部がフィッシングなどの脅威を検知するためのトレーニングを受けていることを知っているため、ソーシャル エンジニアリングによって騙しやすい従業員を標的にします。そのような従業員は、送金を行うために十分な権限を持っている可能性があります。あるいは、攻撃者がその従業員の認証情報を盗み出し、環境内で権限昇格を行うための足掛かりにされることもあります。

あらゆるフィッシング攻撃における最大の常套手段は、緊急性を煽ることです。標的に状況を考える時間を過剰に与えてしまえば、詐欺だと気づかれてしまう可能性があるからです。攻撃者は、なりすましのメールアドレスを使用するか、公式のものと酷似したメールを作成します。緊急性を感じさせることで、標的となったユーザーは多くの危険信号を見落としてしまう可能性があります。

標的ユーザーの恐怖心を利用することほど効果的な要素はありません。特に、CEOが金銭を要求しているとユーザーが思い込んでいる場合、これは非常に有効です。メールは短文であったり、文章が拙かったりすることもありますが、切迫感があるため、標的となった被害者はこうした不自然な点を見過ごしてしまいます。これらの攻撃は常に、被害者から金銭や機密情報を騙し取ることを目的としています。

組織に専任のセキュリティチームがある場合、まずはサイバーセキュリティの責任者に報告することが第一歩です。専任のチームがない場合は、標的となった被害者は運用スタッフに報告します。報告を受けた担当者はメールを確認し、今後同様のメールが受信者に届かないようブロックする措置を講じます。運用担当者やセキュリティスタッフは、他の従業員にも注意喚起を行い、進行中の脅威について認識させる必要があります。

組織が執拗な攻撃を受けている場合や、すでに攻撃者に送金してしまった場合は、直ちに銀行へ連絡する必要があります。場合によっては、銀行の協力により、資金の全額または一部を回収できることもあります。また、調査の依頼や保険適用のために、警察などの法執行機関にも連絡すべきです。

中小企業も大企業もCEO詐欺の標的となりますが、大規模な組織であれば、たった一度の攻撃が成功しただけで数百万ドルの損失を被る可能性があります。例として、XoomのCFOはCEO詐欺の被害に遭い、詐欺であることに気づく前に3,000万ドル以上を海外の銀行口座へ送金してしまいました。最終的に、そのCFOは辞任に追い込まれました。

サンフランシスコの別の企業であるUbiquitiもCEO詐欺の標的となり、4,600万ドル以上を攻撃者の海外口座に送金しました。この攻撃において、Ubiquitiは銀行や法執行機関と協力して約1,000万ドルを回収できましたが、それでもこの詐欺による純損失は3,000万ドルに上りました。

攻撃者にとって、サイバーセキュリティ侵害は数十億ドル規模のビジネスとなっていますが、組織や運用担当者は、以下の手順を踏むことで被害を防ぐことができます。

• 財務や人事担当者など、リスクの高いユーザーを特定し、攻撃を見抜いて報告できるようトレーニングを実施します。
• 悪意のあるメールを阻止するのに役立つアクセス制御やサイバーセキュリティ対策（メールフィルタやDMARCなど）を実装します。
• メール 1通の指示だけで送金や処理を実行させないよう、厳格なセキュリティ ポリシーを運用します。
• 進行中の攻撃を検知できるよう、財務およびサイバーセキュリティの基準を導入します。
• リスク対策を計画し、新規および既存の従業員に対して継続的にトレーニングを行います。
• ソーシャル エンジニアリングやフィッシングメールの模擬攻撃を実施し、従業員の実践的なトレーニングに役立てます。
• CEO詐欺によく見られる典型的な危険信号を常に意識し、最新の手口を把握しておきます。

CEO詐欺から身を守ることは、それだけで手一杯になるほど大変な仕事ですが、プルーフポイントは、こうした攻撃に関わるフィッシングやソーシャル エンジニアリングからあらゆる組織を保護できるよう支援します。以下に、プルーフポイントが提供する解決策をいくつかご紹介します。

• BEC対策：統合された機械学習と人工知能が、標準的なメールセキュリティよりも正確にメール詐欺を検知し、阻止します。また、プルーフポイントのメールセキュリティは、送受信メール環境にDMARCを追加します。このプラットフォームは、管理者に組織のメール全体に対する完全な可視性を提供するため、脅威の検知と確認をより適切に行えるようになります。
• セキュリティ意識向上トレーニング：フィッシング攻撃によるデータ侵害は人為的ミスに起因するものですが、従業員をトレーニングすることで、新たな被害者が出るのを防ぐことができます。プルーフポイントは、実際の事例を用いて従業員をトレーニングし、組織のリスク軽減を支援するとともに、スタッフに対してトレーニングが必要な潜在的な領域を特定します。
• メールセキュリティと保護：悪意のあるメッセージやマルウェアもメールの脅威ですが、プルーフポイントのメールセキュリティは、「NexusAI」と呼ばれる高度な機械学習技術を使用して、これらの脅威を検知し阻止します。具体的には、メッセージヘッダー、送信者IP、メッセージ本文を分析し、悪意のあるメッセージを特定して阻止します。