新たなリスクとして注目が集まるオンライン顧客対応

コロナの影響によって仕事の仕方に様々な変化が現れている。こうした中に、顧客対応がある。すでに顧客からの質問や問題を受け付けて解決策を提示する窓口は、対面だけでなく電話やオンラインでも実施されてきたが、コロナ対策として顧客との直接的な接触を避ける意味でも、こうした対応業務がより電話やオンラインに依存するようなってきている。電話対応のみではサイバーセキュリティは問題にならないであろうが、IT化の進展はオンライン化を促す。オンライン化に応じて業務の効率化を進み、多くある典型的な質問や問題はコンピュータが自動的に応えるようになるが、これを逸脱したものは、やはり直接、担当者が対応することになる。ITが進展している企業は、顧客はまずはオンラインで窓口にアクセスし、コンピュータ上では対応しきれないものが窓口対応者につながる。こうしたオンラインでのアクセスポイントは、ハッカーの攻撃対象になりうる。オンライン化が進む米国では、この新たなサイバーリスクに対して先手を打つ必要性が議論されている(「Risk Management」誌9月号https://rims-japan.jp/202109014515/)。

ライブチャットによる「顧客」からの添付情報に注意

ハッカーはコンピュータ・システムで自動的には対応できない質問や問題をオンライン・ヘルプデスクに流せば、人間の担当者が対応することになることを悪用しようとするのである。こうした新たな質問や問題を明らかにして対応するために、担当者は質問者とリアルタイムでの話し合い、つまりライブチャットで応答する。その際、質問者はその根拠である写真やスキャンした文書などの情報を添付して説明する。この添付情報が曲者なのである。ハッカーは圧縮ファイルで提示する情報にマルウェアを仕込むのである。窓口業務担当者は必ずしもサーバーリスクに精通しているわけではないので、顧客が送ってきた情報を比較的容易に開いてしまう。評価体系からすると、担当者はできるだけ多くの質問に、可能な限り短時間で対応しようとする。また、顧客満足度を上げようとして、顧客の言う通りにすることもある。ハッカーといえば、強圧的な態度で接したり、逆に同情を買うような姿勢で臨んだりと、いわゆるソーシャルエンジニアリングでの知識も活用して、狡猾である。そのため、ハッカーの誘導に乗って開くべきではないファイルを開いてしまうことになる。ランサムウェアの餌食になる瞬間である。場合によっては、窓口担当者は担当部署にこうした情報を提供して対処しようとすることもある。また顧客対応の結果として相応の支払いを伴うこともありえ、経理が引き続き対応することもある。経理は支払い手続きを進めるために、ハッカーと直接やりとりすることになる。ここにもハッカーの手が伸びる可能性がある。

適切に応じなければレピュテーションリスク

窓口対応は、企業としてはユーザー対応を向上させるためのものである。正当に質問し、問題を解決したいと望む顧客が圧倒的に多数を占めることも現実である。ここでの評判を落とすことは、むしろ名声(レピュテーション)リスクとなる。また質問や苦情は商品・サービスの改善にとって必要となる情報である。改善機会を失うリスクでもありうる。こうしたリスクを冒さずに、フィッシング攻撃を回避することが求められる。解決策としては、次のようなものが提言されている。