詐欺師の目的は、単に信用させることではない。相手の平常心を失わせ、冷静な判断ができない状態を作り出すことにある。Booking.comを悪用した今回の手口は、まさにその典型例と言える。
「二段階フィッシング」の本当の脅威はこの点にある。第1段階で盗まれた個人情報は、第2段階で相手の信頼を得るためだけではなく、不安をあおり、判断力を鈍らせるためにも利用される。サイバー犯罪はコンピューターを攻撃するだけのものではなく、人の心理そのものを攻撃する時代へ入ったのである。
これまで企業や自治体は、サーバーやネットワークを守ることに力を入れてきた。もちろん、それはこれからも必要である。
しかし、二段階フィッシングの時代になると、それだけでは十分ではない。守らなければならないのは、「システム」ではなく、その先にいる「人」である。利用者がどのように情報を悪用されるのか。漏洩した後、どのような詐欺へ発展するのか。そこまで考えた対策が求められる時代になった。
新しいサイバー犯罪の始まり
これまで私たちは、「知らない相手だから怪しい」と考えてきた。しかし、これからは違う。自分の名前を知っている。勤務先を知っている。予約したホテルを知っている。それでも、本物とは限らない。
むしろ、その情報を知っているからこそ疑わなければならない。これは、私たちの常識を大きく変える出来事である。「二段階フィッシング」は、まず組織を攻撃し、個人情報を盗む。次に、その情報を利用して本人だけをだます。
Booking.comの問題は、単なる情報漏洩事件ではない。サイバー犯罪の新しい時代が始まったことを示している。今後、この手口は旅行予約だけにとどまらない。学校、病院、金融機関、通販サイト、自治体、個人情報を扱うあらゆる組織が対象になる可能性がある。
これからは、「情報を盗まれないこと」だけを考える時代ではない。盗まれた情報が、どのように次の犯罪へ利用されるのか。そこまで考えて初めて、私たちは新しいサイバー犯罪に向き合うことができる。そして、この「二段階フィッシング」という視点こそ、これからの情報漏洩事件を理解するための1つのカギになる。



