確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは

さらに、ターゲット企業が使用するWi-Fiになりすました偽Wi-Fiを飛ばす機器をターゲット企業のロビーに置き、この偽Wi-Fiにアクセスした社員を足掛かりに不正アクセスを試みることも可能だ。極端な例では、地方の企業に対し、社屋の屋上にドローンを飛ばし着陸させ、偽Wi-Fiを飛ばす手法もある。実際にこの手法を用いた攻撃が確認されている。

ここまでくれば、もはやソーシャル・エンジニアリングとは言えないが、攻撃者にとってはその手段は“何でもよい”のだ。

生成AIの悪用も想定される

最近では生成AIを活用することで、海外の攻撃者は日本語でのメールコミュニケーションに不自由がなくなり、その日本語の不自然さで見抜くといったことは難しくなってきている。また、音声生成AIを用いたニセ音声の悪用により、上司などを装ったソーシャル・エンジニアリングも想定される。

ソーシャル・エンジニアリングは人間の心理と行動上のミスにつけ込む巧妙な手口であり、その手法は驚くほどアナログであることも多く、社員個人のセキュリティ・リテラシーに依存している状況を突いている。

一方で、ソーシャル・エンジニアリングの疑似攻撃では、今から1週間以内に攻撃すると全社員に予告すると当然その攻撃成功率は下がる。ソーシャル・エンジニアリングを軽視せずに、「ここまでやってくるのか」と理解することで、社員のセキュリティ・リテラシーは一定程度向上し、攻撃を防げる可能性も高まるだろう。

攻撃者は、日夜、攻撃手法を考えている。その脅威を是非認識いただきたい。

著者フォローすると、稲村 悠さんの最新記事をメールでお知らせします。