社長から直接｢業務連絡｣すぐに返信は危うい訳､LINEやチャットワークを悪用"新型CEO詐欺"《まさか自分が…コロっとだまされてしまう手口》

また、技術的な痕跡が消されつつあることも脅威です。一部のメールには中国語由来のフォントや、メール配信ツールの変数が残っているケースも報告されていますが、これらはあくまで攻撃側のミスにすぎません。時が経つにつれて手口は洗練され、こうした隙は見せなくなってくるでしょう。

AIによって作成された自然な会話と、チャットツールという距離感の近いコミュニケーション手段が組み合わさることで、受信者の警戒心は低下してしまうのです。

「極秘」と「緊急」の心理攻撃を打ち破るための防御術

詐欺師たちは、人間の心理を巧みに操ることに長けています。「今すぐ振り込まなければ取引に支障が出る」や「この件は社内でも極秘プロジェクトなので、上長や同僚に口外してはならない」などと、「緊急」と「秘密」という二つの要素を強調するのです。被害者に考える時間を与えず、孤立させるための常套句です。

この罠から組織を守るのに効果的な対策が、「アウト・オブ・バンド」と呼ばれる確認手法を徹底することです。

これは、メールやチャットで金銭の振り込みや情報の提供を求められた際に、その連絡手段とは異なる経路で本人に確認を取るという方法です。

例えば、LINEで社長から指示が来たならば、会社の内線電話や携帯電話に直接電話をかけたり、対面で「先ほどの件ですが」と尋ねるのです。これだけで、なりすましは一発で見破ることができます。

システム面や運用ルールでの防御も欠かせません。Chatworkなどのツールでは、社長や役員のアカウントIDを社内で周知し、それ以外のIDからのコンタクト申請は一切承認しないというルールを設けるべきです。

さらに、「経営陣がチャットツールを通じて、突発的に送金指示を出すことは絶対にない」と明文化し、全従業員に教育することも重要です。

不審なメールの送信元アドレスを確認する習慣をつけることも有効ですが、フリーメールアドレスではなく、独自ドメインを取得して本物に似せている場合もあるため、アドレス確認だけで安心するのは危険です。やはり最終的には、アナログな本人確認というプロセスが最後の砦となるのです。

現在流行している新型CEO詐欺は、単なる迷惑メールではなく、組織的なサイバー犯罪グループによる高度な標的型攻撃です。そして、この攻撃は特定の業種や規模の企業だけを狙ったものではなく、日本全国のあらゆる組織がターゲットになっています。

明日の朝、あなたの受信トレイに「社長」からのメールが届かないとは言い切れません。

「自分はだまされない」「うちは大丈夫」という根拠のない自信は捨てましょう。組織の命運を分けるのは「まさか自分が」という意識の変革が必要です。

企業は技術的な対策を講じるだけでなく、従業員一人ひとりが「人間ファイアウォール」として機能するよう、デジタルリテラシーを高める必要があります。「怪しいと思ったら、必ず電話で確認する」という行動を組織全体に浸透させ、ネット詐欺から大切な資産と信用を守りましょう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、柳谷 智宣さんの最新記事をメールでお知らせします。