仕事に追われる日々。終わることのないメールとの闘い。昨日までに終わらせるべきだった業務の整理……。

突然、上司からの緊急メールが受信ボックスに飛び込む。指定する銀行口座に8,000ポンド(約100万円)を振り込むよう依頼しているものだ。これは非常に珍しいことであるが、確かに上司自身からのメールであり、オフィスでのニックネームで呼び掛けてきている。別の仕事はすぐさま、どこかに行ってしまい、別の緊急の要件もさらにどこかへ行ってしまう。とにかく命令に従うのがいいことだ。

いや、ちょっと待とう。ダブルチェックは掛けたのか、確認したのだろうか。

これは「CEO詐欺」と呼ばれるものである。本物のCEOが何もしていないのに、CEOからの命令であるかのように誤解させ、特定の行動をさせるよう仕組まれた詐欺の手口で、近年しばしば見受けられるようになった。いったん成功すれば、お金はまた別の口座に振り込まれ、もともとの口座は閉じてしまう。ほとんど証拠が残らないため、お金を取り戻すチャンスは極めて低い（大半のケースでは不可能）。

多くのデータ窃盗の例から分かる通り、膨大なデータはすでにクラウド上で使用できるようになっている。メールあるいはテキストの重要性を確認することがないまま悪の手に落ちるに任せている一方で、他者とどのようにコミュニケーションをとっているのかも正確に知らせてしまいかねない。誰もが独特の「語り口」があり、特定のやり方でメールの中で「語る」。鋭かったり、ぶしつけだったり、軽かったり、あるいは大げさだったりするかもしれない。

しかし、最終的には日々のコミュニケーションの足跡はどこかに残っており、標的型攻撃を成功させる手掛かりを与えてしまっているのである。

こうした不正行為の被害者にならないために、どのようなことができるだろうか。

金銭を取り扱う場合は全て、少なくとも2人以上の承認を必要とする手続きを定めるべきである。堅苦しいように思えるかもしれないが、最大の保険措置（バックアップやセキュリティソフトなど）であり、とても安全度を高めるものだ。

どこから来たのかを示すメールアドレスをダブルチェックする。またどこへ行こうとしているのか、あるいは、誤字脱字に注意する。自分たちにしか分からない内容を付け加える。

質問にメールを用いるのは、アカウントが乗っ取られているかもしれない可能性を考えれば、最も良い考えではないかもしれない。正直、あらゆるシニアマネージャーは、部下が自分のお金に注意深くなることに好感を持たないだろう。結局、自分の仕事をしっかりと行うことに尽きるのだ。

だが、もしこうしたことが実際に起こったのなら、決して無視してはならない。誰かに知らせるべきである。特に、システム管理者には知らせよう。もし侵害が一部に限らず広範囲に及びそうなときに彼らのチェックは大変重要である。そして、もちろんCEOにも知らせるべきである。侵害が起こったとき、それ以上被害が広がらないようにする上で、重要な役割を果たすからである。最後に、最も重要なこととして、「IPA」(独立行政法人情報処理推進機構)や警察などに知らせることをお忘れなく。