上司が詐欺師?上司の指示を装った詐欺

上司や同僚から突然、「問題を解決する」よう指示するメッセージを受け取ったら… 詐欺の可能性があります。こうした攻撃から自分自身と会社を守る方法を説明します。

ある日突然、あなたの直属の上司、または勤務先の経営幹部から電話やメッセージを受け取ったとしましょう。あなたは、彼らからの連絡で厄介な問題が発生したことを知ります。会社には罰金が科せられ、あなたが所属する部署にも深刻な問題が発生し、その結果あなたが解雇される可能性があるというのです。冷や汗が背筋を伝いますが、この窮地を切り抜けるチャンスはまだあるようです。いち早く指示通りに動けば問題を解決できる、と彼らは言います。

そんな時は、まず落ち着いて深呼吸をしてください。この緊急事態は、99%の確率で完全にウソで、電話をかけてきたのは言うまでもなく詐欺師です。では、このような攻撃を見抜き、身を守るにはどうすればいいのでしょうか?

攻撃の構造

このような手口は何十種類もあります。詐欺師は、標的のお国柄に応じて、企業が直面する各種の問題を細かく説明することがあります。規制当局や警察、主要なビジネスパートナーなどの関与を列挙し、問題を解決するためのあらゆる方法を提案します。しかし、心理的足がかりとなる重要なポイントがいくつかあり、これらなくしては、攻撃を実行することはほぼ不可能です。詐欺であるかどうかを見分けるポイントは以下のとおりです。

  1. 上司の権威、または知り合いに対する信用。多くの人は、見知らぬ人からの奇妙な行動、たとえばインスタントメッセージを使って連絡をしてくる警察官や、私的な問題に干渉する銀行員などに対して不信感を持つようになっています。この詐欺の手口は違います。近づいてくる人物は、被害者がある程度知っている人物、それもかなり重要な人物のようです。詐欺師は、経営幹部になりすますことがよくあります。その理由は第一に、経営幹部という高い地位があり、第二に、被害者がその人物の名前は知っていても、その人特有の話し方や癖などまで知っている可能性が低いからです。経営幹部以外にも、経理部や法務部などの部署の同僚になりすます手口もあります。
  2. 外部の第三者の紹介。最もシンプルな事例をご紹介しましょう。連絡してきた「同僚」や「上司」は、あなたに金銭を要求してきます。しかし多くの場合、最初の連絡の後にその「上司」が提案するのは、外部の組織の人物と連絡を取り合い送金について話し合うよう促します。詐欺の具体的な手口にもよりますが、被害者の知り合いになりすます必要がなければ、この「外部の人物」は、警察官や税務署職員、銀行員、監査役などとして紹介されます。「上司」は、「指定された人物」を最大限にサポートし、話し合いを遅滞なく行うようにと、あなたに指示するでしょう。とはいえ、ディープフェイクを利用したビデオ会議後に2,500万ドルが盗まれた事件のように、最も手の込んだ詐欺では、詐欺師が会社の従業員に最初から最後までなりすますこともあります。
  3. 緊急性。要求は急を要するものでなければなりません。被害者が状況を冷静に考える時間を与えないようにするためです。「監査は明日」「ビジネスパートナーがたった今到着した」「今日の午後に請求が来る」…要するに、被害者が今すぐ行動しなければならないように仕向けるのです。詐欺師は、こういった会話を電話で行い、送金されるまで電話を切らないよう被害者に指示することがよくあります。
  4. 絶対に厳守すべき秘密。詐欺を実行するとき邪魔者が入らないように、「上司」は早い段階で被害者に、このインシデントのことを誰かに話すと悲惨な結果につながるので口外しないようにと警告します。「被害者以外に信用できる人物がいない」「他の従業員の何人かは犯罪者である」「他人に話すことは会社への背任行為である」などの言葉で、被害者を説得することもあります。彼らは一般的に、自分たちの要求が満たされるまで、被害者を誰とも話させないようにします。

上司になりすました人物からの詐欺メールの例

攻撃の目的

被害者の職業や収入に応じて、攻撃の目的は異なります。被害者が会社から金融取引を実行する権限を与えられている場合、詐欺師は、問題解決を支援する名目で、法律事務所などの業者への秘密の支払いをするように、または会社の資金を「安全な」口座に振り込むように、被害者を説得しようとします。

お金を扱わない従業員は、社内システムのパスワードなどの企業データや、標的自身の資産の詐取を目的とする攻撃の標的になります。詐欺師は、被害者の口座を危険にさらす会計データの漏洩から、監査が終わるまで会社のキャッシュギャップを閉じておく必要性まで、何十もの裏話を考案している場合があります。いずれの場合も、犯罪者は被害者に対し何らかの方法でお金を使うよう要求します。別の口座への振り込み、ギフトカードや金券の支払い、お金を下ろして「信頼できる人物」に渡すなどが考えられます。説得力を増すために、詐欺師は被害者の出費や労力に対する手厚い補償を約束することもありますが、詐欺が完了してしまえば後の祭りです。

説得力のある細部の作りこみ

ソーシャルメディアへの投稿や数々のデータ流出により、詐欺師が攻撃を周到に準備し、標的個人に特化した形式で仕掛けることは、非常に簡単になりました。被害者、その直属の上司、最高経営責任者(CEO)、経理部などの関連部署の従業員のフルネームと正確な部署名を特定することも、説得力のあるインスタントメッセージのプロフィールを作成するためにこれらの人物の写真を探し出すこともできます。また必要に応じて、音声ディープフェイクを作成するための音声サンプルも見つけることができます。大金がかかっていれば、詐欺師はかなりの時間を費やして、できるだけ説得力のある演出を用意することもあるでしょう。ある事例では、攻撃者は建物内部の会社の部署の位置や、個々の従業員の机の位置までも把握していました。

攻撃の技術的側面

このような巧妙な手口ではほとんどの場合、詐欺師から電話がかかってきます。ただし、最初の「上司からの連絡」は、メールやインスタントメッセージの形式で届くこともあります。単純な攻撃では、詐欺師は上司の名前で新しいインスタントメッセージやメールアカウントを作成するだけですが、より巧妙なケースでは、上司の会社のメールや個人アカウントをハッキングします。これは、BEC(ビジネスメール詐欺)攻撃と呼ばれます。

電話に関しては、詐欺師はよく番号偽装サービスを使用したり、SIMカードの不正コピーを入手したりします。被害者の発信者番号通知には、会社の代表電話番号や上司の電話番号が表示されます。

詐欺師は、ディープフェイク音声ジェネレーターを使用している可能性があります。したがって、相手の声に聞き覚えがあっても、発信者が本物である保証はありません。このような手口では、ビデオ通話も使用されることがあります。その場合、発信者の顔もディープフェイクになります

詐欺師から身を守る方法

何よりもまず、詐欺師に脅迫されようとも情報を確認する注意力と勇気が、この類の攻撃から身を守る2つのポイントとなります。

ゆっくりと慌てずに。詐欺師の狙いは、あなたが冷静さを失うことです。落ち着いて事実を再確認ししましょう。電話を切らないように相手がしつこく要請してきたとしても、電話が切れたふりをすることはいつでもできます。そうすることで、事実確認をする時間が稼げます。

送信者の住所、電話番号、ユーザー名に注意してください。上司とはメールで連絡するのが普通なのに、突然見知らぬ番号からその上司の名前でインスタントメッセージが届いたら、注意深く確認しましょう。メッセージアプリでいつも会話している場合、新しいメールが届いたのに履歴がないのは、誰かが新しく作成したアカウントを使用していることを意味します。これは重大な危険信号です。残念ながらサイバー犯罪者は、本物と見分けがつきにくい偽のメールアドレスや、ハッキングしたメールやインスタントメッセージのアカウントを使用することがあります。こうしたことが、偽モノの検知をいっそう難しくしているのです。

細かい部分にも注意してください。知り合いが奇妙な依頼をしてきた場合、その状況からその人が詐欺師かもしれないと判断できることはありますか?メールに少し不自然な点はありませんか?その人らしからぬ言葉遣いをしていませんか?普段は名前で呼び合ってる相手が、苗字やフルネームで自分のことを呼んでいませんか?本人だけが知っていることを質問して本人確認をしてみましょう。

不自然な依頼は危険信号だとみなしてください。上司や同僚があなたに何かいつもと違うことを緊急に依頼し、しかもそれを秘密にしている場合、これはほぼ間違いなく詐欺の兆候です。したがって、取得した情報を検証し、相手の身元を確認することが重要です。最低限するべきことは、別の通信手段を使ってその人に連絡を取ることです。直接会って話をするのが最善ですが、それは不可能でしょう。そこで、電話帳に登録されている相手の会社や自宅の番号に電話をかけるか、その番号を手動で入力しましょう。ただし、詐欺師とのやり取りが再開されるのを避けるため、最後にかかってきた番号には電話をかけないでください。利用可能な別の通信手段を使用してください。あなたに電話をかけてきた携帯電話番号は、電話帳に保存されている上司や同僚の実際の番号であっても、SIMの交換、または単純な携帯電話の盗難によって侵害されている場合があります。

同僚に確認してみましょう。「すべて秘密にするように」と依頼されていようとも、その内容によっては、同僚に情報を確認しても支障はありません。経理の誰かからだと思われるメッセージが届いたら、同じ部署の別の人に連絡してください。

同僚や警察に注意を促してください。不審なメッセージを受け取った場合、詐欺師があなたの組織や同僚を標的にしていることを意味します。策略があなたに効かなければ、詐欺師は次に別の部署を標的とするでしょう。同僚に情報を共有し、またセキュリティ担当者に事例を報告し、さらには警察に詐欺を通報しましょう。

ヒント