企業の存続にさえも影響する

オンラインでの詐欺行為を阻止した成功事例としては、インターポール(国際刑事警察機構)が主導して今年6月から9月までの期間で実施したコードネーム HAECHI-II作戦*3がある。日本を含む20カ国の警察機関が連携し、1,660件の事件に関与した1,003人を逮捕、2,700万ドル(およそ30億円)の回収に成功した。

詐取された金銭が回収されたことで、800万ドルを詐取されたコロンビアの繊維会社は倒産の危機を免れている。11月に米国の大手家電量販店で、店舗での商品が盗まれるといった窃盗事件(これはオンラインでの詐欺行為ではなく、店舗での窃盗という物理的な行為)が頻発したことを懸念し被害企業の株価が一時17%安となることも発生したが*4、このコロンビアの繊維会社での例のように、オンラインでの詐欺行為の被害が企業の存続に直接的な影響を与えるまでに発展することもままある。

いま一度立ち止まる

狙われるのは企業だけでない。企業への投資を行っている投資家も狙われている。

11月に米国証券取引委員会(SEC)が投資家に向けて発行した注意喚起*5では、米国証券取引委員会を装った偽のメールや電話、ボイスメール、手紙などに気を付けるよう述べている。その手口とは、標的とされた投資家の口座が不正取引に悪用されているので確認したいということで、保有株式、口座番号、暗証番号、パスワードなどを聞き出そうとするものである。こうして冷静な時に聞けば怪しいことにも気付くことができるかもしれないが、その時の状況や信頼に足るような情報が提供された時には、その判断も難しいものとなるかもしれない。

これらの手口を見ていくと、どことなく類似性があるようにも思えてくる。11月には中国の研究者らが、ディープラーニング(深層学習)アルゴリズムを用いてフィッシング詐欺のウェブサイトを検出する方法を学会誌で発表した*6。13,000件ものフィッシング詐欺のウェブサイトを用いた実証実験で、99%の精度での検出が実証されたとのことである。

コロナ禍によって働き方が変わり、怪しいメールや電話が来ても隣の席の同僚に気軽に確認することが困難になった。そのような隙をも突く形で、「人」の脆弱性を狙った手口が大幅に増えている。

人工知能に学習させるためのコストも、専門家によっては年率50~70%低下しているとも言われており、コストの低下と被害事例の増加によって同僚の代わりに怪しいメールを教えてくれるような技術が登場するのも、そう遠い話ではないだろう。

とはいえ、今日明日でどうにかなる話というわけでもない。 この後開くメールのリンクをクリックする前に、いま一度立ち止まって確認されたい。

出典
*1 https://therecord.media/fbi-document-shows-what-data-can-be-obtained-from-
encrypted-messaging-apps/

*2 https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

*3 https://www.interpol.int/News-and-Events/News/2021/More-than-1-000-arrests-and-
USD-27-million-intercepted-in-massive-financial-crime-crackdown

*4 https://www.bloomberg.co.jp/news/articles/2021-11-23/R3139MT0G1KW01

*5 https://www.investor.gov/introduction-investing/general-resources/news-alerts/alerts-
bulletins/investor-alerts/beware-0

*6 http://www.inderscience.com/offer.php?id=119167

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉