（注：本ブログはAIで翻訳しています）　

信頼されるブランドが攻撃の踏み台に

ピン！あなたの顧客やパートナーの受信箱に1通のメールが届きます。 件名にはあなたの会社名、本文の上部には相手の氏名、そしてすぐそばにはお馴染みのロゴやブランドが表示されています。オファー、報酬、依頼…。読み手は迷うことなく開封します。なぜなら、彼らは長年皆さんの会社を信頼してきたからです。

そして、そのメールをクリックするだけで、皆さんの会社のものとまったく同じ外観のランディングページへと誘導されます。

これが、攻撃者があなたの組織をおとりにしてフィッシング詐欺を成立させるまでに必要なすべてです。そして前回のPhishing-as-a-Service（PhaaS）シリーズ パート1でもお話ししたように、この種の攻撃を開始・拡大するために必要なツールすべてが、今では“サブスクリプション型経済”によって簡単に手に入る時代になっています。攻撃者は、ターゲットを絞ったフィッシングテンプレート、認証情報窃取ツール、さらにはカスタマーサポートまでも、サービスとして利用することができます。本シリーズの第2部ではKELAが提唱する防御戦略に再び焦点を当てて、自社ブランドを模倣するフィッシング攻撃の脅威に、企業がどのように先手を打てるのかを解説してまいります。

なぜ企業は、自社を装ったフィッシング詐欺に注意すべきなのでしょうか？

多くの人がフィッシング詐欺のリスクについて考えるとき、まず思い浮かべるのは従業員の受信トレイに届く攻撃メールです。従業員が誤ってフィッシングリンクをクリックしたり、悪意のある添付ファイルをダウンロードしたりすると、その行為が原因で認証情報の窃取やランサムウェア感染、データ漏えいなど、企業全体に深刻なリスクをもたらします。

そのため、ほとんどの企業では、メールセキュリティやフィルタリングソリューションの導入に加え、従業員が悪質なメールを見抜けるようにするための継続的な意識向上・トレーニングプログラムを整備しています。さらに、多要素認証（MFA）を導入することで、たとえ従業員が詐欺に引っかかってしまった場合でも、認証情報の悪用リスクを低減することができます。

では、攻撃の「発信源」として自社が悪用された場合はどうでしょうか？攻撃者があなたのブランドの信用を悪用して他社を攻撃するようなフィッシング詐欺が存在します。もしこのリスクをまだ認識されていなかったのであれば、今すぐにでも意識すべきです。これらの攻撃は完全に自社ネットワークの外側で行われ、以下のような深刻な影響をもたらします。

■ ブランドの信頼失墜

攻撃者がフィッシングメールで皆さんの会社（ブランド）になりすますと、顧客、パートナー、さらには従業員までもが詐欺の被害に遭う可能性があります。一度でも顧客やサプライチェーンのパートナーが「（皆さんの）会社＝詐欺に関係している」という印象を持てば、契約更新、紹介、信頼のすべてが失われるリスクがあります。

■ 情報漏えい

ブランドを偽装する攻撃によって、ログイン認証情報、支払い情報、個人データなど、ユーザーが機密情報をだまし取られる可能性があります。攻撃者はこの情報を悪用し、さらに深刻な損害を与えたり、従業員の情報が悪用された場合には企業ネットワークそのものへの二次攻撃が行われる恐れもあります。

■ 金銭的損失

フィッシング攻撃が成功すると、個人情報の盗難、ビジネスメール詐欺（BEC）、その他の金融詐欺に発展する可能性があります。これにより数百万ドル規模の直接的損失が発生するだけでなく、偽サイトの削除や法的対応、規制当局への説明責任といった追加コストも発生します。

■ コンプライアンス違反のリスク

GDPRやCCPAなどの規制では、企業に対して厳格なデータ保護義務が課されています。これらの義務を怠ったと判断されれば、ブランド攻撃による被害に対して企業側が責任を問われる可能性があります。

最悪なのは、自社よりも先に“顧客やパートナーが攻撃を知る”ことです。ブランドなりすまし攻撃は自社ネットワークの外で発生するため、発覚が遅れることがよくあります。最初の報告が「被害を受けた顧客からの苦情」や「法的措置や集団訴訟」である可能性もあるのです。あるいは、従業員が標的となった次の攻撃フェーズに進んだタイミングで初めて問題が表面化する、というケースもあります。

KELAのBrand Control：ブランドに対する攻撃を線防

2023年、企業はフィッシング関連のサイバー攻撃により、1分あたり約17,700ドルの損害を被ったと推定されています。KELAのBrand Controlはこのリスクを軽減するために、リアルタイムモニタリング、脅威の早期検知、迅速なテイクダウン機能を提供し、サイバー脅威が実害に発展する前に無力化することを目指しています。KELAの膨大な独自データセットとAI駆動の高度な分析技術を活用することで、Brand ControlはWebドメインやソーシャルメディア全体にわたる包括的な保護を実現しています

セキュリティチームにとって大きなメリット

Brand Controlは、広範かつ包括的なカバレッジによって、セキュリティチームに確かな防御力をもたらします。実際のデータによると、Brand Controlは成功するフィッシング攻撃の75～85％を大幅に削減でき、企業のブランド信頼性と誠実性を維持するための有効な手段となります。

仕組み：オープン、ディープ、ダークウェブを監視

Brand Controlは、オープンウェブ、ディープウェブ、ダークウェブにおける公開情報とKELA独自の情報源の両方をスキャンし、ブランドを標的にした不正利用の兆候を探知します。

以下のような脅威を検出・可視化します：

• ブランドに酷似したドメインおよびサブドメイン

• タイポスクワッティング（綴りの似たドメイン）による偽サイト

• ロゴ、画像、テーマなどブランド資産の不正使用

• 従業員になりすました偽のSNSアカウントや投稿

自動分類＆トリアージで、すばやい対応を実現

インシデントは自動的に分類・優先付けされ、完全に自動化されたフローにより、数分以内にフィッシングサイトをブロックし、数時間以内に削除対応までを実行します。

今こそ、盲点をつく攻撃に備えるとき

PhaaS（Phishing-as-a-Service）の出現と拡大により、フィッシング攻撃はこれまで以上に巧妙で頻繁に発生するようになっています。そして、攻撃者にとって最も都合の良い存在は「あなたの盲点」です。KELAのBrand Controlは、そうした盲点を迅速かつ的確に補い、これまでにないスピードでフィッシング脅威を排除することを可能にします。 今すぐ、自社ブランドと顧客の安全を守る第一歩を踏み出しましょう。