人間とAIエージェントのリスク管理を包括的に扱う、世界的に著名なサイバーセキュリティプラットフォームであるKnowBe4は、ブラックフライデーやクリスマスといった消費が集中する季節的な時期が、ラテンアメリカ全域の企業にとって依然として最もサイバーリスクの高い時期の一つであると指摘しています。
この時期は、デジタルトラフィックの増加、メール量の増加、そしてITチームの過負荷が、リスクの「最悪の状況」を引き起こします。この状況は、小売業界特有の要因、例えば訓練を受けていない臨時従業員の雇用や、実店舗、eコマース、アプリケーション、決済システムを組み合わせたマルチチャネル環境の複雑さによってさらに悪化します。
グローバル・リテール・レポート2025によると、小売業は世界で最も標的となる5つのセクターに含まれています。このセグメントにおけるデータ侵害の平均コストは、2024年に348万米ドルに達し(IBM調べ)、前年比18%増加しました。ラテンアメリカは、北米(56%)に次いで、2番目に攻撃件数の多い地域であり、全攻撃試行の32%を占めています。ブラジルは、小売業におけるランサムウェアの影響が最も大きい5カ国に含まれています。
最も一般的な詐欺の仕組み
サイバー犯罪者は、この時期のコミュニケーションの加速と増加を利用し、正規のメッセージに紛れ込んだ詐欺メッセージを挿入します。こうした攻撃は、システムが侵害される可能性のある企業と、オンラインプロモーションで個人情報や決済情報を共有することの多い消費者の両方に影響を与えます。
最も頻繁に発生する詐欺の一つは、大手小売業者のオファーを模倣した偽のプロモーションで、ユーザーをクローンウェブサイトにリダイレクトするものです。これらのページでは、企業または個人のログイン情報とパスワードが盗まれ、悪意のあるフォーラムで販売されます。
もう一つのよくある手口は、ソフトウェアアップデート、パスワードリセット、配信通知といった技術的なアラートを模倣したメッセージです。専門家が作成した、一見正当な内容に見えるこれらのメッセージは、ユーザーを騙してリンクをクリックさせたり、添付ファイルを開かせたりします。その結果、アクティビティの監視、セッションCookieの盗難、保存された認証情報の取得などを行うマルウェアやスパイウェアがインストールされます。
こうした詐欺は、緊急性、報酬、既知感といった心理的なトリガーを悪用します。例えば、同僚やIT部門の署名が入ったメールは、業務量が多く納期が迫っている場合には、疑問視される可能性が低くなります。そのため、人的要因がサイバー攻撃の主な侵入口となります。
文化、行動、継続的なトレーニングを通じてリスクを軽減します。
この種の詐欺に対抗するには、組織内の文化的な変革が必要です。継続的な意識向上プログラムとフィッシングシミュレーションを実施することで、従業員が悪意のあるメッセージに接触する可能性を12ヶ月で最大88%削減できます。レポートでは、トレーニング実施前のフィッシング被害率(Phish-prone™ Percentage)は、中小企業で平均30.7%、中規模企業で32%、大規模組織で42.4%であることが示されています。90日後には、これらの割合は約20%に低下します。
「この進化は、人間の行動がサイバー脅威に対する防御の最も効果的な柱の1つとして認識されるようになったことを示しています。特に、従業員が微妙な不正の兆候を識別し、心理的操作の戦術を理解し、企業のサイバーセキュリティ防御に積極的に参加することを学ぶと、その効果は大きくなります」と、KnowBe4のテクニカルCISOアドバイザー、ラファエル・ペルーチ氏は述べています。
トレーニングに加えて、季節的な期間における社内セキュリティポリシーの強化、コミュニケーションフローの見直し、全システムへの多要素認証(MFA)の導入が不可欠です。リアルタイムコーチングや自動フィッシングアラートなどのリソースは、不正行為への迅速な対応に役立ちます。
「自動化は脅威の検知に役立ちますが、真にリスクを軽減するのは人間によるリスク管理です。人工知能のサポートにより、行動パターンを特定し、各組織に合わせた意識向上プログラムを作成することができます」とペルーチ氏は結論付けています。
