今回重要なのは「どこから漏れたか」だけではない。もっと重要なのは、その情報が何のために使われたかである。
第1段階では、ホテル、企業、ECサイトなど、個人情報を管理する組織が狙われる。目的は個人情報の取得である。そして第2段階では、その情報を使って本人だけを狙うフィッシングを行う。この「二段階フィッシング」と称する攻撃にとって、情報漏洩はほんの始まりにすぎない。個人をだますための準備だからである。
従来、情報漏洩事件とフィッシング事件は別々に報道されることが多かった。しかし実際には、1つの犯罪が次の犯罪を生み出している。この流れを一体として捉えなければ、今後のサイバー犯罪の実態は見えてこない。
「本物らしさ」が最大の武器になる
今回、多くの人がだまされた理由は、技術が高度だったからではない。人の心理を巧みに利用したからである。このフィッシングが特に問題なのは、詐欺の対象となる人の極めて機微な個人情報が悪用されている点にある。
ここでいう機微な情報とは、旅行という極めてプライベートな予定である。旅行情報は、一般の個人情報とは性質が異なる。旅行中は自宅を空ける可能性があり、行動予定そのものを示す情報でもある。
そのため、犯罪者にとって利用価値の高い情報と言える。ホテルの予約や旅行の準備は、多くの人にとって出発の日まで気掛かりなものであり、予約内容や決済状況を何度も確認する人も少なくない。
そのようなタイミングで、「支払いに問題があります」「予約を維持するため確認してください」といった連絡が届けば、不安になるのは当然である。しかも、そのメールには宿泊先や宿泊日、自分の氏名まで書かれている。「ここまで知っているのだから本物だろう」、そう考えてしまうのは、ごく自然な心理である。

