注意！｢情報漏洩｣は､ほぼ社員がリスク源だ ソーシャルエンジニアリングに警戒せよ

ちなみに、ITコンサルティング会社で働く、社内ゴシップが大好きな筆者の知人は昼夜問わず、所属組織内のサーバー群から他人のメールのアーカイブファイルを探し求めている。意外にもファイルサーバー上にアーカイブファイルが放置されているのだそうだ。また、共有されたスケジュールなども狙い目とのことで、従業員のプライベートが垣間見えるとのことだ。まるで芸能レポーター的な発言に筆者は開いた口がふさがらなかったほどだ。その意味では、産業スパイに限らず、他人のメールをのぞきみたい人間は多くいるようなので日常的に注意が必要といえる。

近年、このような直接電話で交渉してくるケースは比較的少ないように思う。電話による連絡は標的を警戒させてしまうこともあり、盗取する側にとってはリスクが高い。実際、筆者らがクライアントの依頼により電話で機微情報を聞き出すテストを行うと、一部のテスト対象の従業員は非常に警戒する。警戒した理由は、ナンバーディスプレイに表示される番号や、社員データベースに存在しない社員IDからの連絡だったから、といった鋭い洞察力を持った方もいれば、第六感（！？）が危険を察知したという方もいた。いずれにせよ、直接のコンタクトは悪意を察知される可能性があるようだ。このような背景に加え、効率的に情報を窃取するため、ここ10年でとりわけ目立っているのがインターネットを介しての情報窃取である。 

ちなみに、海外のニュースでは日本が産業スパイをしている、とも報じられている。感じ方は人それぞれだが、どの国でも産業スパイは関心ごとのひとつのようだ。

さまざまなソーシャルエンジニアリングの手口がある

さて、インターネットを介したソーシャルエンジニアリングの代表例はメールであることはおおよそ見当はついていると思う。昨今、メディアでも注意喚起が行われているので認知度は高い。

その代表的なサイバー攻撃のひとつがサイバー・エスピオナージ（スパイ活動のこと）である。この活動は不正プログラムが混入された信憑性の高そうなドキュメントファイル（議事録や業務資料など）をメールに添付することで行われることが多い。一見、業務にかかわる資料のように見えるため、つい不正なファイルにもかかわらずクリックしてしまう。

昨年から政府関連企業や大手企業が扱う個人情報が標的となったことは世界中に広く知られることになったくらいだ。知らないという国民は少ないだろう。ただし、これらの標的となった個人情報を某国が「何の目的」で盗み出したのかはいまだ詳細は不明だ。

最近ではFacebookやTwitterといったSNS（ソーシャルネットワーキングサービス）の普及により、より手軽に攻撃が行えるようになっている。実際、今年3月に報道のあった神奈川県議への標的型攻撃はFacebookが用いられたという。

思い起こせば、筆者は「お久しぶりです！」などというメッセージと共に”友達申請（Friend Request）”を受信すると深く考えずに承認してしまったクチだ。あなたもSNSの友達を見直すと、知らない”友達”がチラホラいるユーザーもいるのではないだろうか。攻撃者はこういった、”つい”クリックしてしまう程度の誘いを用いてくるのだろう。