本書の冒頭には、日本航空が2017年に約3億8400万円の振り込め詐欺被害にあった事件が紹介されている。実際の取引の支払い代金をメールの指示で偽の銀行口座に振り込んでしまったのだという。また、第2章では2016年8月にはドイツの大手電気機器メーカーLEONI社が約50億円をだまし取られたという事件が紹介されている。CFO(最高財務責任者)が偽メールの指示で誤った口座に資金移動してしまったという。こうした企業版振り込め詐欺は、実在の取引相手や幹部になりすました偽メールの指示に騙されてしまったもの。巧妙に装った偽メールで企業から金銭をだまし取る詐欺は「ビジネスメール詐欺」、別名では、攻撃対象が大きな金額を動かす権限をもつCFOであることから「CFO詐欺」ともいうようだ。「ロンドン・ブルー」という標的CFOリストも闇の世界で売り買いされているとのこと。
もちろん、CFOが簡単に騙されるはずはない。企業内の送金プロトコルや、取引の事実、請求書の金額や支払い日など、本来外部には知られていない情報に基づいてメールが偽造されている為、本物と見分け難いのである。こうした機密情報が攻撃者に漏洩してしまうのは企業のネットワークの内部に侵入され、長期間、密かに情報収集されているからだという。攻撃ターゲットを明確にした「標的型サイバー攻撃」のプロセスは「サイバーキルチェーン」として類型化されており、概要が紹介されている。
昨年起きた、コインチェック社の約580億円相当仮想通貨ネム巨額流出事件でも、攻撃者側は約半年前からメールやSNSでコインチェック社員と交流を重ねて信用させた上でマルウェアを送りつけ、社員のパソコンに侵入したらしい。これは「サイバーキルチェーン」の典型例とされている。
著者によればインターネット空間は攻撃者にとって非常に有利になっているという。つまり、サイバー攻撃者側は時と場所を自分で自由に設定して潜んで居られるが、攻撃を受ける側にとっては、いつ、どんなサーバー攻撃が自分に仕掛けられるかをまったく予測できない。そういう非対称性が大きな脅威であるとのこと。
本書では、フェイクニュースとネット広告についてなど、他にもビジネスに関係しそうな興味深い話題が多数紹介されている。たまには、こういう本を読んで、くれぐれもインターネットの暗黒面に落ちないように注意しましょう。メイネットビーウイズユウ!