社長からのSOS、従業員なら従うべきか？

フィッシング詐欺は実に有効な攻撃だ。「仲間に協力したい」「上司の命令にはすぐに従う」といった人間の心理を利用しているからだ。フィッシング詐欺にひっかかることを前提として、企業の仕組みを作り変える必要がある。

[Matt Kapko，Cybersecurity Dive]

　いつも通りに仕事を進めているときに、突然CEO（最高経営責任者）からテキストメッセージが届いたと想像してほしい。窮地に立たされていて、あなたの助けがぜひ欲しいのだという。どのように協力できるだろうか。

上司には従うべきだが、ここは一呼吸が必要

　このような事態があなたの会社でも起きるだろう。CEOは従業員に対して「支援や個人情報を求める電子メール（以下、メール）を送っていない」と何度も念を押さなければならなくなる。

　CEOは携帯電話を紛失していない。他の連絡先や重要なビジネス情報へのアクセス手段を失ったわけでもない。道端に取り残されたり、ガソリンを入れるためにバーチャルギフトカードを求めたりしているのでもない。

　攻撃者はあらゆる手段や媒体で防御を回避し、従業員をだまして機密情報にアクセスしようとする。フィッシング詐欺は最も一般的な手口の一つだ。従業員がこれに引っ掛かると企業は大変な損害を被ることになる。

上位役職者からのメールを警戒しなければならない

　経営陣の苦境を装うフィッシング詐欺はもはや一般的になった。

　Kyndrylのクリス・ラブジョイ氏（グローバルセキュリティ＆レジリエンスプラクティスリーダー）は「まだこのような詐欺に引っかかる従業員がいることに少し驚いている。これは少し前から始まっており、経営陣の誰かが助けを求めているといううそのストーリーを利用している」とコメントした。

　攻撃者はフィッシング詐欺で人間の行動心理を利用することに長けている。とはいえこの種の攻撃には特に高度なテクニックは使われていない、とラブジョイ氏は言う。

　「だからこそ、たちが悪いのだ。人間は基本的にとても他人を信頼しやすく、攻撃者は信頼という弱点を狙っている」（ラブジョイ氏）

フィッシング詐欺がまん延しているのは、有効だから

　Twilio（注1）、Cisco Systems（注2）、Uber Technologies（注3）などに対する最近のフィッシング詐欺は、上級管理職になりすましたものではないが、この種の手口の広がりと驚くべき成功率を示している。

　悪意あるメッセージを検出するSlashNextの調査によれば（注4）、モバイルフィッシング詐欺は2022年の年1年間で約50％増加した。

　Verizon Communicationsが公開した「2022 Data Breach Investigations Report」（2022年データ侵害調査レポート）にあるデータ侵害では（注5）、5件中4件以上に人的要素が関与しており、最初の侵入経路の大半をフィッシング詐欺が占めている。2021年11月に発表されたForrester Researchのレポートでは（注6）、データ侵害の約3分の1がフィッシング詐欺によるものだ。

　これらのフィッシング詐欺の多くは、メールの受信トレイを「攻撃」して、ビジネスメール攻撃が始まる。テキストメッセージも同様に脆弱（ぜいじゃく）であり、メールよりもより個人的な性質を利用して攻撃の「てこ」になる。

　サイバーセキュリティのトレーニングを提供するフィンランドHoxhuntのミカ・アアルト氏（共同設立者兼CEO）は、メールで次のように語っている。

　「サイバー犯罪のためにCEOになりすますのはなぜか。それは人々が良いことをしたいと望んでいることを、攻撃者が知っているからだ。上司から緊急に何かをするように言われると従う習性があるため、攻撃のレッドフラグを見落とす可能性が高くなる」

　Hoxhuntは攻撃者がアアルト氏になりすまして従業員にメッセージを送るフィッシング詐欺キャンペーンを何度も撃退した。ほとんどはメール経由だが、テキストメッセージも使われていると同氏は言う。

CEOのなりすましを両側から観察する試みもある

　サイバーセキュリティ業界を含め、あらゆる企業の従業員が自社のCEOを名乗る不正なメッセージを受け取っている。サイバーセキュリティ企業Dragosのロバート・リー氏（共同設立者兼CEO）は、2022年10月にDragosの従業員が受け取ったテキストメッセージのスクリーンショットをツイートして（注7）、形勢を逆転させようとする試みを紹介している。

　SlashNextのパトリック・ハーCEOは、「CEOを名乗ったフィッシング詐欺はよくあることだ」とメールで語っている。「新人がCEOと名乗る人物からメールを受け取り、何かの通知や依頼を受けることはよくある。この動きが今、携帯電話のテキストメッセージへと拡大している」

　ほとんどの従業員はCEOの電話番号を知らないので、この種の攻撃は発見しにくいとハー氏は言う。攻撃者はその弱点を突いてくるのだ。

　SlashNextが観測した特に巧妙な攻撃の一つは、SNSの「WhatsApp」を発信源とするものだった。攻撃者はアジアに出張中の自社CEOを名乗り、従業員にZoom会議を開催するよう依頼した。

　「ハッカーはCEOの偽動画を使った。Zoomの音声に問題があるため、チャット機能を使ってあるリンクに会社のデータを送信するよう従業員に要求した」とハー氏は述べている。

　ラブジョイ氏はこの種のフィッシング詐欺が後を絶たないことから、企業内部に目を向け、そこで働く人々の心理を理解する必要性を強く感じている。

　「攻撃する側と同じように考えなければならない。何が重要なのかを理解して、それを守るだけでなく、最悪の事態が起きたときに回復できるように重要なものを適切なレベルでコントロールできるようにしなければならない」（ラブジョイ氏）

出典：No, your CEO is not texting you（Cybersecurity Dive）

注1：Twilio employees duped by text message phishing attack（Cybersecurity Dive）

注2：Internal Cisco data stolen after employee hit by voice phishing attack（Cybersecurity Dive）

注3：Uber details how it got hacked, claims limited damage（Cybersecurity Dive）

注4：The State of Phishing 2022

注5：2022 Data Breach Investigations Report

注6：Best Practices: Phishing Prevention

注7：Robert M. Lee氏によるツイート