確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは

最近の事例として、2018年、暗号資産取引所「コインチェック」が不正アクセスの被害に遭い、580億円相当の暗号資産（NEM）が流出したケースがある。

攻撃者は、SNS等を通じて同社のエンジニアを特定し、それぞれのエンジニアに対し、偽名で接触を開始。SNS上で交流を重ね、約半年間もの時間をかけて信頼関係を構築した。メール・コミュニケーションをする中でマルウェアを仕込んだメールを送付し、あるエンジニアがそれを開封したことで攻撃者の不正アクセスの足掛かりとなり、約580億円分の暗号資産を不正に流出させるに至った。

スパイ活動の手口と酷似

上記の手法で言えば、ビジネスSNSを見ることで、所属部署や担当業務が把握できる。また、名刺管理アプリでターゲットになり得る人物を検索してもよいだろう。

そして、ターゲットにSNS上で接触する。その口実は共通の趣味でも、転職の相談や担当業務に関する意見交換でもよい。ターゲット企業が産業展などに出展する場合は、そのサービスに関心があるフリをして日本企業として偽名の名刺を作成して堂々と接触し、名刺交換を行うこともできる。

その後、メールを主としたコミュニケーションを図り、十分に関係を醸成したうえで、ファイルの送付を行う口実を作り、マルウェアを仕込んだZIPファイルを添付して送付するのだ。その口実は相手との関係次第でいかようにも作れる。

このようにSNSで接触しサイバー攻撃の足掛かりとなった例は、2020年の三菱重工業に対する不正アクセス事件がある。これは、同じく2020年に立件された積水化学工業元社員によるLinkedinを通じて知り合った中国企業への情報漏洩事件のように、日本で行われているスパイ活動の典型的な手口と酷似する。