CEOを装ったフィッシングメールによる「CEO詐欺」では、決裁権のある重役が主なターゲットとなる。AlienVaultがセキュリティプロフェッショナルを対象に行った調査によれば、自分の会社の重役がCEO詐欺のようなフィッシング詐欺に引っかかったことがあるとの回答が37%に上ったそうだ(AlienVaultのブログ記事、 V3.co.uk)。

調査は6月に開催されたInfo Security Europe 2016の会場で行われ、セキュリティプロフェッショナル300名近くが回答した。重役がCEO詐欺の被害者になったことはないという回答も39.1%あったものの、23.9%は「わからない」と答えたそうだ。重役がCEO詐欺に引っかかる可能性についての質問では、重役らが危険性を熟知しているという回答は18.5%に過ぎず、可能性としては他の人々と変わらないという回答が51.9%、巧妙に準備されたものであれば可能性があるという回答も29.6%となっている。

しかし、AlienVaultではCEO詐欺の多くが巧妙に準備されたものであることを指摘する。攻撃者は同じように見えるドメインを取得することが多く、重役のバックグラウンドについて十分な調査を行う。また、多くの重役は秘書に日々の業務を任せているが、秘書は重役よりもソーシャルエンジニアリングに弱いことが多いという。そのため、組織にセキュリティ上の弱点を残さないため、全ユーザーを対象にトレーニングを実施することが重要だとしている。

なお、組織をフィッシングの脅威から守るための準備に関する設問では、自分が主導したトレーニングにより、悪意のあるメールを多くの従業員が特定できるという回答が35.4%、CEOを含めて組織内の全員がフィッシングメールを見分けられるという回答が44.9%に上る一方で、問題が発生してから対処するという回答も19.7%あったとのこと。