確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは

注意点は、これらの攻撃は波状的に行われる場合があることだ。

例えば、暗号資産取引所「コインチェック」のケースにおいて、エンジニアがメールを開封したことでマルウェアに感染したところで、被害企業内のセキュリティ対策により内部システムへの侵入が防がれたとしよう。

その場合、エンジニアと半年以上かけて交友関係を作った攻撃者は、エンジニアの携帯電話番号くらい入手しているだろう。そして、攻撃者は被害企業のセキュリティ部門を装って電話をかける。

「今、あなたのPCから不正アクセスが検出されました。あなたのPC上で被害拡大を防止するために一定の操作が必要です。こちらで指示された通りに操作してください」と伝え、内部システムへの侵入を試みるのだ。

上記は一例であり、多種多様な攻撃が可能であることは実感いただけたのではないだろうか。

相手を信用させるのも攻撃の一環

ソーシャル・エンジニアリングの基本は人間の心理に作用し、行動ミスにつけ込むことが基本だが、相手を信用させることが攻撃成功の近道である。

例えば、ターゲット企業にメディア出演依頼を装って問い合わせを行い、XXXテレビと申し伝え、ターゲット企業の担当者と複数回のオンライン会議を行う。この際、オンライン会議のバーチャル背景にXXXテレビのロゴを配しておくことで信憑性も増す。

そして、出演に関する企画書を送付すると言い、@XXXtv.co.jpといったあたかも信憑性のあるメールアドレスからマルウェアを仕込んだファイルを送付するのだ。

2022年末には、警察庁が国際政治や安全保障などを専門とする大学教員や報道関係者らを標的とし、講演依頼などのメールを送りつけ、ウイルスに感染させる「標的型メール攻撃が相次いでいる」として注意喚起を行った。