今まで、何も隠すことはないからインターネット上のプライバシー脅威は特に気にならない、と主張する人々に対して繰り返し反論してきました。このような考え方は賢明ではありません。その理由を、例を挙げて説明します。

私たちは、オンライン詐欺とその回避方法について繰り返し説明してきました。詐欺師側の主な課題は、被害者から見て信頼されるようになることです。そこで、皆さんのデータが関わってきます。以前、詐欺師があなたの旅行計画を知っていれば、彼らはより人を信じ込ませることができるようになると説明しました。今回は、もっとビジネス的な事例について取り上げます。

ネブラスカ州オマハのある会社の経理部長が、中国に数回に渡って送金するよう指示するメールをCEOから受け取り、総額1720万ドルを送金しました。お察しの通り、送信者はCEOではなく詐欺師でした。詐欺師は大儲けしました。

この両方の事例から得られる明白な教訓は、メールは信頼できないということです。メールそのものには、送信者認証は一切提供されていません。送信者アドレスは容易に偽造できます。メールが信頼できる相手から送られてきたものかどうかを確認するには、メールの内容、暗号化された署名、または送信者のみが知り得る情報に頼らざるを得ません。この結果、あまり知られていない教訓を学ぶことができます。

オマハ事件の詐欺師は、被害者の情報を入手していたようです。誰が送金を担当しているかを知っていたのです。その人物はまた、CEOが中国で何らかの取引を行ったことを知っていたため、送金依頼が本当であるように思わせることに成功しました。おそらく、経理部長がCEOと毎日顔を合わせないことを知っていたのでしょう。もし会っていればこの詐欺は成功しなかったはずです。使われた情報の一部は一般に公開されており、CEOの名前もその1つです。残りの情報をどうやって入手したかは不明ですが、詐欺師の役に立ったことは明らかです。

これは、犯罪者がほんのわずかな情報を利用して巨額の金をだまし取る方法がよくわかる例です。しかし、このオマハの企業はどうすれば良かったのでしょうか?経理部長は、取引が本当であることを確認するために、CEOに電話するべきでした。会社は、詐欺師がどのような情報を持っているかを分析し、セキュリティポリシーをチェックする必要があります。そして、これは、一般の人々も行うべきことです。誰かがメールで連絡を取ってきたときにはよく考え、確信が持てないときは、送信者に確認してください。また、この種の標的型攻撃をできるだけ実現困難にするために、すべてのデータを保護してください。

この会社は事件後、経理部長を解雇しました。しかし、あなた個人がお金をだまし取られても、誰も解雇することはできません。

安全なネットサーフィンを
ミッケ

 

PS. 経理部長を解雇するのは正しいことだったでしょうか?難しいところです。当然のことながら、メールを真に受けて騙されてしまった人に責任はあります。しかし、会社が送金依頼を確認するための適切なルールを定めていたかどうかも問題です。経理部長は、送金したときに会社の規則を破ったのでしょうか?もしそうでなければ、会社にも責任はあります。

>>原文へのリンク