サイバーセキュリティの盲点は｢人の脆弱性｣だ　“心理学”を考慮したリスクマネジメントの新常識 サイバー攻撃なくとも情報漏洩が起きる理由

「人間の心理的な弱さの利用、あるいは他人になりすまし、必要な情報を収集（盗み見、盗取、ヒアリング）するもので、いくつかの方法を組み合わせたり、複数の人や方法、場所等で情報収集を行ったりする。犯罪者だけでなく、（他人になりすますなどの違法行為はなくとも）情報収集のテクニックとしては医者、弁護士、コンサルタント等、多くの職種の方が利用している」

かつて、私の知人で、ソーシャルエンジニアリング書籍の翻訳関係者は「書籍を読む前『ソーシャルエンジニアリングなんてたいしたことではない』と思っていた。 しかし、読後は「自分が標的になって、ソーシャルエンジニアリング攻撃を仕掛けられたら、とても対抗できない」と話していた。

最新の技術を使ったサイバー攻撃でなくとも、巧みな手法で情報が引き出されうるということだ。わかりやすい例を2つ挙げよう。

例1）お笑い芸人の情報収集方法

5年ほど前、テレビでお笑い芸人が2人の女優と会話していた。若い女優は年齢を聞かれ、24歳と答え、年上の女優は「女性に歳を聞かないで」と答えた。

そこで、このMCは若い女優に「2人の関係は？」と聞き、「姉の同級生」との回答。すかさず「お前と姉はいくつ違う？」。年下の女優は、「3歳」と。このように、直接聞かなくても、情報収集はできる。

例2）非機密情報から情報収集をする

2012年11月、英国・ブリストルで開催された「ソーシャルエンジニアリング」研修に参加した。参加者は9名で、17時以降、3名1グループで、近くのパブでお客の情報を収集する課題が与えられた。

つたない英語で、パブの人たちの情報収集をするより、同一グループ3名のうち1人が持っていたノートの表紙に彼（グループ内の1人）の名前があり、それをこっそり書き取り、ホテルに戻って詳細な検索を行い、翌朝、それを発表した。想定外の情報収集で、ソーシャルエンジニアとして、講師から高い評価を受けた。

性“弱”説、もし3億円落ちていたらどうする？

1990年前半、私が当時勤務していた損害保険会社の社長が「性弱説」の考え方を述べた。これを情報セキュリティに適用できないかと考えたのが始まりだった。

「お金が落ちていた。誰にも見つからないとしたら、皆さんはどうされますか？」