攻撃と脅威
CEO 詐欺
別称: 役員なりすまし
定義
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
CEO 詐欺(「ホエーリング系 BEC」とも呼ばれる)は、信ぴょう性のある経営層のなりすまし(類似ドメイン、表示名偽装、または乗っ取られたメールボックス)に、権威性と緊急性を組み合わせます。標的は経理、財務、人事、役員秘書などで、機密扱いの送金、ギフトカードの一括購入、給与振込先変更、税務書類や個人情報の提供を依頼されます。有効な統制としては、既知の電話番号でのコールバック検証、支払いのデュアル承認、整合した DMARC reject ポリシー、外部メールバナー、想定シナリオに基づく繰り返し訓練が挙げられます。
例
- 偽装された CEO メールが「機密 M&A」のための送金を経理責任者に指示する。
- 攻撃者が CFO を装い、人事に全従業員の W-2 書類を要求する。
関連用語
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
ホエーリング攻撃
経営幹部などの高価値ターゲットを狙うスピアフィッシング攻撃。多くは多額の不正送金や戦略情報の取得を目的とする。
メールスプーフィング
メールヘッダを偽造して信頼できる差出人から送られたように見せかけ、フィッシング・詐欺・マルウェア配布などに用いる手法。
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
請求書詐欺
偽造請求書や改ざんした正規請求書を送り付け、支払先を攻撃者の口座に変えさせる詐欺。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。