ジュエリー企業がサイバー犯罪から身を守る方法

先日、英国ジュエラー、グラフに対するサイバー攻撃を記事で取り上げたが、現代において多くのジュエリー企業数多くのサイバー攻撃の対象になっている。2020年には米国の大手ジュエリー企業、シュテューラー(Stuller)がサイバー攻撃を受け、出荷に大きな影響を受けている。様々な大手の有名ジュエリー企業がサーバー攻撃を受けており、中小ジュエリー企業までがサイバー攻撃やデジタル詐欺の次の対象になるのは時間の問題と考えられる。

「大手ジュエリー小売業者が最も被害に苦しんでいますが、多くの場合彼らはこれらの被害について話したり、サイバー犯罪について報告することはありません。」と語るのは、ジュエリー企業に犯罪情報を提供し、法執行機関を支援する非営利団体であるジュエラーズ・セキュリティ・アライアンス(JSA)のCEOであるジョン・ケネディだ。同局の最新の年次犯罪報告書は、もはやサイバー犯罪は特別なカテゴリーでさえないと強調している。

セキュリティデータは、ジュエリーを含む企業のサイバーリスクを表している。スタンフォード大学とデジタルセキュリティ会社であるテシアンの2022年の調査では、回答者の52%がサイバー犯罪者が幹部を装ったフィッシングメールに騙されたことを明らかにしている。これは2020年の数字から41%増加しており、36%が過去12ヶ月の間にセキュリティを危険に晒す職場での間違いを犯したことを認めた。

「従業員はリスクと手順を認識しなければならない。」と、ジュエリーとアートを専門とする危機回避専門会社ISPSのCEOであるイタイ・ヘンデルは言う。「スタッフは、タップまたはクリックひとつで、会社に劇的な影響を与える可能性があることに気づいていません。」

トラブルの入口

JSAの上級犯罪アナリストであるライアン・ラドックによると、ジュエリー企業が遭遇するサイバー詐欺には主に3つのタイプがあると言う。最も一般的なのはフィッシング詐欺で、これは電子メールのリンクまたは添付ファイルを介して配信される。

リンクをクリックすると、銀行情報詳細などの個人情報の入力を求めるウェブサイトにつながる可能性があり、詐欺師はその情報を盗む可能性がある。一方添付ファイルは、悪意のあるソフトウェアをコンピュータに埋め込んだり、他のコンピュータに感染させたり、システムを完全にシャットダウンさせたりすることがあり、犯罪者が「身代金(ランサム)」を要求する可能性が潜んでいる。

ケネディは、そのような犯罪の犠牲になった小さな宝石チェーンの例を引用する。彼らは会計、在庫、クライアントなど、すべてのシステムから完全にロックアウトされ、10万ドルの身代金を要求された。「その後、彼らはコンピュータを全てクリーンアップするためにIT会社にお金を払う必要があった」と彼は言う。

ヘンデルは、そのような事例を見て被害にあった企業が犯罪者に請求に支払わないようにアドバイスする。「あなたが今日身代金を払えば、彼らは明日もっと多くを要求するだろう。」と彼は言う。身代金を支払う代わりに、この種のハッキングに対処できるプロのIT部門を用意することを彼は勧めている。

「メールのドメインに数字や文字があったり、言語がオフになっている場合、そのメールを開かないでください。」とヘンデルは付け加える。「メールが奇妙に見える場合、それは赤信号です。フィッシング詐欺の被害者にならないよう、疑わしいリンクやダウンロードをクリックせず削除してください。」

通信の侵害

ジュエリー企業の間で他の一般的なタイプのサイバー犯罪は、電子メールでサプライヤーや幹部になりすますことです。この活動は、インターネット犯罪苦情センター(IC3)によってビジネスメール侵害(Business Email Compromise – BEC)と呼ばている。IC3は一般市民がそのような不正行為を報告するために連邦捜査局(FBI)によって設立された。この詐欺の名称は(日本では一般的に)「なりすましメール」とも呼ばれる。

わかりやすい兆候としては、サプライヤーや会社の幹部など、受取人が知っている人からのものだと間違えやすい電子メールだ。ただし、メールアドレスは少しずれていて、実際のメールアドレスよりも1つか2つの余分な文字が含まれている。多くの場合、犯罪者は本物のメールに見えるようにスタッフやサプライヤーの名前や職務を調査してから、詐欺メールを送信する。

「犯罪者は、電子メールがCEOから来ているように見せかけます。その場合スタッフはメールに対して(CEOに)直接確認しずらい可能性があるからです。」と、カナダ警察に24年間勤め、現在ジュエラーズ・ヴィジランス・カナダのセキュリティアドバイザーを務めているケリー・ロスは言う。

資金や製品を求める、また急かすようなリクエストを受け取った場合には、常にメールアドレスを注意して観察する必要がある。また、送信者に電話して、内容を確認する必要がある。

フェイク電話

サイバー犯罪の最後の種類は、電話で誰か重要な人物になりすまし、お金や商品を得ようとするものだ。詐欺の努力は説得力を生む。ケネディは、現在収監されている詐欺師の約5年前の詐欺を引用した。「ニューヨーク5番街の主力ジュエラー」とケネディは被害企業を呼ぶが、詐欺師はその企業に電話をかけ、ミュージックビデオの撮影のために製品を貸すよう説得した。またこの詐欺師には、幹部のふりをして商品を受け取る協力者がいたとケネディは説明する。

このサイバー攻撃と他の2つは人間の心理的な隙やミスを通じて起こる、とラドックは説明する。「それは人間に対するハッキングの芸術で、人々を操作して機密情報を明らかにします。」

これら犯罪者の努力を阻止するため、専門家は知っている相手に電話して依頼内容などを確認し、また受取人の写真付き身分証明書のコピーを取ることをが推奨されている。電話番号を参照したり、疑わしい通話をボイスメールに送信して、あなたとあなたの会社のIT専門家がその番号が正しいものかを判断できるようにする必要がある。

一般的に、あらゆる種類のサイバー詐欺を回避する最善の方法は、しっかり考え、相手を精査し、既存の連絡先に確認することだ、とFBIのブルックリン/クイーンズオフィスの上級監督常駐エージェントであり、FBI/ニューヨーク警察の盗難タスクフォースのスーパーバイザーであるスティーブ・ゴンザレスは言う。「販売のプレッシャーがかかっているとき、焦ってしまい十分に注意を払わないことがよくあります。それは通常、問題が発生したときです。」と彼は言う。

ジュエラーのためのセキュリティチェック

  • メールの疑わしいリンクをクリックしたり、疑わしい添付ファイルをダウンロードしない
  • メールアドレスをよく見て、それらが本物であることを確認する
  • 送信者に電話して内容を確認する
  • セキュリティ露出を最小限に抑え、ウイルス保護とファイアウォールを最新の状態に保つために、プロのITセキュリティ企業と連携する
  • 詐欺に注意するようにスタッフを訓練する
  • クライアントのクレジットカード番号を保存しない
  • 従業員が職場で個人的なメールにログインすることを制限する
  • データ侵害を防ぐために、大文字、数字、記号を含む12文字の強力なパスワードを作成し、60〜90日ごとに変更する
  • データ侵害が発生した場合、クライアントと率直に協議し、顧客に一定期間個人情報の盗難防止プログラムのメンバーシップを提供する
  • 被害が発生した場合、証拠を保存し、IT専門家と事件を精査し、(米国では)ic3.govのインターネット犯罪苦情センターを含む法執行機関に連絡する。(日本の場合は警視庁サイバー犯罪対策へ)
  • 最新の情報についてジュエラーズセキュリティアライアンス(JSA)を参照する

コメント

タイトルとURLをコピーしました