ScamLens
危険 平均被害額: $50,000 標準的な期間: 1-7 days

CEO詐欺:経営幹部なりすまし詐欺の仕組み

CEO詐欺は、ビジネスメール詐欺(BEC)とも呼ばれ、犯罪者が企業の経営幹部になりすまして従業員を騙し、資金や機密情報を転送させる高度な詐欺です。詐欺師は通常、財務部門または企業口座へのアクセス権を持つ従業員を標的にし、通常の確認手順を迂回するために緊急性を醸し出します。FBIによると、BEC詐欺は組織に年間27億ドル以上の損失をもたらしており、1件あたりの平均損失は50,000~200,000ドルです。この詐欺は2013年に初めて出現して以来、大幅に進化し、現代のバリエーションには給与横領スキーム、ベンダー支払い詐欺、および秘密買収になりすまされた送金要求が含まれるようになりました。多くの相手に送信される釣り魚メール攻撃とは異なり、CEO詐欺は極めてターゲットを絞られており、詐欺師は攻撃を開始する前に企業の階級構造、従業員関係、および財務プロセスを研究します。

主な手口 見分け方 身を守る方法 実例 よくある質問 通報窓口

主な手口

  • CEO またはCFOの実際のアドレスになりすまし、文字が1つ異なるか、「company.com」の代わりに「companynme.com」のような類似のドメイン名を使用した、なりすましまたはそっくりなメールアドレスからメールを送信する。
  • 秘密買収、緊急送金、または営業時間外または通常の確認手順を迂回して即座の対応が必要な時間に敏感なビジネス事項を主張することで、人工的な緊急性を生成する。
  • 新しく開設された銀行口座、暗号資産ウォレット、またはオフショア口座への送金を要求し、多くの場合、財務担当者にとって妥当に見える仕入先支払い、従業員ボーナス、または決済手数料を装う。
  • LinkedIn、企業ウェブサイト、およびソーシャルメディアから収集した諜報情報を使用して、特定の従業員、プロジェクト、または財務詳細を参照し、その要求が正当で十分な情報を得ていると見せる。
  • 他の従業員との議論を避けるよう被害者に指示し、買収協議、規制上の問題、または法的問題が原因で事項が機密であると主張して絶対的な秘密を保つよう指示する。
  • 「弁護士」または「会計士」になりすまし、第三者から追加の圧力メールまたは電話で、金銭要求の緊急性と正当性を強化する。

見分け方

  • 経営幹部からの通常と異なる送金、特に新しいベンダーまたは口座への送金、または明確なビジネス正当性なく標準的な支払い承認プロセスを迂回するよう要求するメール。
  • 既知の経営幹部のメールとほぼ同一だが、微妙なスペル変更、別のドメイン拡張機能を含む、または会社ドメインの代わりに外部メールサービスを使用する送信者アドレス。
  • 会計、法務、またはそのような取引を通常確認する他の部門との協議を避けるよう指示する、極めて機密性の高い、緊急性の高い、または時間に敏感な要求。
  • 経営幹部からのメール内の文法、トーン、または形式の矛盾(異常なフレーズ使用、連絡先情報の欠落、企業リーダーシップが通常使用する標準的なメール署名の欠落など)。
  • なじみのないベンダー、新しい被支払人、または異なる国の口座への送金要求、特に要求している経営幹部が通常は他のチャネルを通じて通信するか、以前に送金要求をしたことがない場合。
  • 取引の詳細を確認するか、偽の法的文書を提供することで、圧力と正当性を追加する、弁護士、会計士、またはビジネスアソシエイトを装った後続通信。

身を守る方法

  • 指定された閾値(10,000ドル以上)を超えるすべての送金について、メールで提供された電話番号ではなく、既知の電話番号による音声確認を要求する、義務的な確認プロトコルを確立する。
  • すべての経営幹部のメールアドレスと通信設定の企業全体リストを作成し、代替チャネル(既知の番号への電話、対面確認、またはセカンダリメール)による要求の確認を従業員に訓練する。
  • 特に財務アクセス権を持つアカウントにおいて、すべてのメールアカウントに多要素認証を実装し、メールドメイン認証標準(SPF、DKIM、DMARC)を有効化してメールなりすましを防止する。
  • 送金要求は常に異なる部門の少なくとも2人の従業員による承認を要求し、メール通信から分離した文書化された承認証跡を持つ方針を確立する。
  • CEO詐欺に特に焦点を当てた定期的なセキュリティ認識トレーニング(なりすまし通信を特定し、確認手順に従う従業員の能力をテストするシミュレーション釣り魚メールおよびシナリオを含む)を実施する。
  • メール転送ルール、予期しないログイン位置、または経営幹部アカウントへの新しいデバイスアクセスなどの異常なアカウント活動を監視し、詐欺が発生する前にアカウント侵害の兆候を検出する。

実例

中堅製造会社の財務マネージャーが、「CEO」からの緊急送金85,000ドルを要求するメールを、その日に締結される秘密買収のための新しいベンダー口座に受け取りました。メールは会社の実際のドメインとは1文字異なるドメインから送信され、事項を秘密にしておくよう要求していました。数時間以内に、従業員は会社の通常の3人承認プロセスに従わずに資金を転送しました。実際のCEOがクライアント会議から戻り、送金について尋ねたころには、資金は複数の国際口座を通じて移動され、回収不可能になっていました。

テクノロジー企業のHR部長が、「給与システム更新」のための従業員W-2情報と直接入金詳細を要求しているCFOからのメッセージに見えるものを受け取りました。詐欺師は240人の従業員の個人情報にアクセスを取得し、その後、身元詐欺と税還付詐欺スキームに使用されました。使用されたメールアドレスはCFOの実際のアドレスとほぼ同一でしたが、わずかに異なるドメインを使用していました。HR担当者は、要求が「認識している」人から来ており、標準的なビジネスプロセスに関連していたため、通常のチャネルを通じて確認しませんでした。

スタートアップの経理部門は、3日間にわたって会社の共同創立者から見える複数のメールを受け取り、投資家関係費用および保留中の買収に関連する法的決済手数料として、合計180,000ドルの送金を要求していました。メールには取締役会メンバーと企業の非公開投資家文書に掲載されている財務詳細への特定の参照が含まれていました。会社の弁護士であると主張する人物からのフォローアップ通話は、緊急性を強化しました。財務チームは、共同創立者の実際のアシスタントが完全に異なる支払いを確認するために電話をかけるまで、最初の2つの送金を行った後で、メールが詐欺であることに気付きました。

よくある質問

詐欺師は当社の企業と従業員について、どのような詳細情報にアクセスしますか?
詐欺師は、LinkedIn企業ページ、SECファイリング、企業ウェブサイト、およびソーシャルメディアプロフィールなどの公開されている情報源を使用して、組織の階級構造をマッピングし、従業員名を収集します。また、データ侵害から流出したデータを購入し、買収またはビジネス取引に関するプレスリリースを監視し、従業員に電話をかけて情報を抽出することで監視を行う場合があります。より高度な犯罪者は、従業員のアカウントまたはインターネット接続を侵害した場合、会社のメール通信を監視する場合があります。
CEO詐欺と通常の釣り魚メールメールの違いは何ですか?
CEO詐欺は極めてターゲットを絞られており、貴社および従業員に個人的にカスタマイズされ、多くの場合、実際のビジネス関係と正確な組織詳細を参照します。通常の釣り魚メールは、一部の受信者が応答することを期待して、広く一般的なメッセージを拡散します。CEO詐欺は、財務権限を持つ特定の個人をターゲットにし、社会工学を使用して緊急性を生み出しますが、釣り魚メールは通常、悪意のあるリンクをクリックさせるか、感染したファイルをダウンロードさせるだけです。

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。

警察庁サイバー犯罪相談窓口

サイバー犯罪

都道府県警察のサイバー犯罪相談窓口(電話番号は地域別)。

訪問 →

消費者庁 消費者ホットライン

消費者保護

消費者ホットライン「188(いやや!)」。最寄りの消費生活センターへ。

188 訪問 →

IPA 情報セキュリティ安心相談窓口

通報

独立行政法人 情報処理推進機構による情報セキュリティ全般の相談。

03-5978-7509 訪問 →

金融庁 金融サービス利用者相談室

金融監督

投資詐欺・金融商品トラブルに関する相談窓口。

0570-016811 訪問 →

この詐欺に遭った可能性はありますか?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ceo詐欺:経営幹部なりすまし詐欺の仕組み is described at https://scamlens.org/ja/encyclopedia/ceo-fraud.
https://scamlens.org/ja/encyclopedia/ceo-fraud