確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは

（写真：show999／PIXTA）

あなたが勤務中、デスクの電話がふと鳴り、応対する。

あなた「はい、XXXです」

相手「システムの高橋（仮名）です。社内の端末についてセキュリティ・パッチを当てているのですが、XXXさんの端末だけ、うまくいかず直接ご連絡しました。使用しているPCのアップデートをかけたいのですが、操作をお願いできますか？」

あなた「そうですか。わかりました。どうすればよいですか？」

～指示通り、設定画面などを開かせられる～

相手「おかしいな、うまくいかないですね。私のほうで、リモートで操作しちゃいますので、マウスから手を放していただいていいですか。私が遠隔操作してセキュリティの更新をかけちゃいますね」

あなた「わかりました」

相手「遠隔操作したいので、念のため社員番号とログインIDとパスワードをお聞きしてもよいでしょうか……」

疑似攻撃はほぼすべて成功

こうしてあなたの個人情報は相手に渡る。これは、「ソーシャル・エンジニアリング」の簡単な手口の一例だ。そして、得た情報を手掛かりにサイバー攻撃や詐欺が行われることもある。

ソーシャル・エンジニアリングとは、総務省によれば「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法」と紹介されている。

その手口の例としては、以下の通りだ。

・関係者になりすました電話などによる聞き取り

・ショルダーハッキング（キー入力や画面を盗み見る）

・トラッシング（ゴミ箱をあさり、情報を集める）

上記の攻撃手法はあくまで、“例”であり、他にもメールによって悪意あるリンクを踏ませるなどの標的型メールといった手法も含まれる。

筆者は、企業の依頼を受け、当該企業に対し疑似的にソーシャル・エンジニアリングを用いた攻撃をしかけ、セキュリティホールを見つけるとともに社員への警鐘を鳴らす取り組み＝ソーシャル・エンジニアリングテストを提供しているのだが、“ほぼすべて”成功している。なぜなら、ソーシャル・エンジニアリングの手法は多様かつ極めて巧妙だからだ。