この数カ月ほどだろうか、ちまたで「オレオレ詐欺」に関するニュースが頻繁に報じられるようになった。
詐欺の手口だが、テレビなどでも取り上げられたので大半の方がご存じだろう。高齢者の自宅に、「おれだよ、おれ」と息子や孫を装って電話をかけ、「車をぶつけた」「会社の借金を返さなくてはならない」などという理由をつけては金をだまし取るというものだ。最近では女性版の「ワタシワタシ詐欺」も登場しているという。応用しようと思えば、ほかにいくらでもシチュエーションは考えられるだろう。
どうしてこんな子どもだましの手に引っ掛かって数十万、数百万円といった額をだまし取られるのだろう? と不思議に思う人がいるかもしれない。でもこの詐欺、ターゲットをきちんと絞り込んでいるうえに、人の心理に付け込むテクニックを利用しているのだ。
まず狙われるのは、高齢者、それもなるべくなら一人暮らしの女性だ。これは電話帳を眺めていけばだいたい見当がつく。彼女には普段、めったに電話などかかってこないだろうし、耳も幾分遠くなっているだろうと推察できる。そうした状況で、子どもや孫をかたって切迫した声で電話をすれば、おそらく彼女は驚きのあまり声をきちんと判断できないに違いない。そのうえ口を挟むタイミングを与えず、畳み掛けるように話を進め、“自分はいま非常に困っている、助けになるのはあなたしかいない”ことを強調する。
電話を受けた側にしてみれば、子どもやかわいい孫がトラブルに巻き込まれたことでまず動転する。そして、何とかその状況から救い出したい、助けたいと思うことだろう。こうして状況の不自然さには気が付かず、急いでお金を振り込みに行く、ということになる。
オレオレ詐欺とソーシャルの共通点
わたしは常々、このオレオレ詐欺にはソーシャルエンジニアリングの手法に通じるものがあって参考になるなぁと思いながら一連のニュースを見ていた。
ソーシャルエンジニアリングは、代表的な不正アクセス手法の1つだ。といっても、いわゆるネットワーク/システム的なセキュリティとは別の次元のアプローチである。直訳の「社会工学」というと何が何だかよく分からないが、要は詐欺、だましの技術といっていいだろう。
例えば電話口で「わたしはシステム管理者だ」「経営陣の知り合いだ」などと身分を偽って、機密情報を知っている人間をだまし、システムに関する情報やパスワードを聞き出したり変更させる。ほかにも、企業が出したゴミをあさって重要な情報を見つけ出す、あるいは警備の人間をうまくいなして企業オフィス内に侵入する、といったあたりが代表的な手口だ。つまり技術以外の手段で、セキュリティ上最大の「ウイークポイント」である人をだまし、警戒心を解かせ、何らかの情報を得ることこそソーシャルエンジニアリングの真骨頂である。
ソーシャルエンジニアリングではしばしば、自分(だます側)が窮地に陥っていることを訴え、相手の同情を利用して情報を引き出したり、侵入のための入り口を作り出すといった手法が使われる。そう、これはまさにオレオレ詐欺が用いた手法そのままだ。自分が困った状況にあることを訴え、前後関係を確認するいとまを与えずに目的を達成するのである。
中には、最初に電話をかけてきた人間とは別の人間(共犯)が電話を代わり、それとなく、あるいは凄みのある言葉で脅しをかけるケースもあるという。「相手を助ける」とはベクトルの方向が正反対だが、このように脅しをかけ、いうことを聞かないと不利益が生じると思い込ませるのも、ソーシャルエンジニアリングの手段の1つだ。
ちなみに、オレオレ詐欺の手口の中でもわたしがうまいなぁと感じたのは、電話の際には決して自分から名乗らないことだ。本格的なソーシャルエンジニアリングでは、まずターゲット企業のゴミあさりをしたり、関連企業に近づいて下調べを行い、ある程度人物名や上下関係などを把握してからいざ電話するものだが、オレオレ詐欺では「おれだよ、おれ」と繰り返す。そうしていれば自然と、被害者の側から「○○かい?」などと名前を確認しようとするから、あとは「そう、○○だよ、○○」などと話を合わせればいい。
オフィスなどでは「どちらさまでしょうか?」といった具合に相手を確認するものだろうが、自宅あての電話、しかもいかにも親しい関係にあるような人間からの電話で、そのように冷静に確認を行う習慣はあまりないだろう。また、もし被害者が、声が違う、話し方が違うと疑念を抱いたとしても、それをうまく丸め込み、口を挟ませない話術というのも1つのポイントなのだろう。どうあっても疑念を抱かれたのであれば、電話を切ってしまえばいい。ほかにもターゲットはたくさんいるのだから。
もちろん、対抗する手段はある。何はともあれ、相手が本当に息子(娘)や孫であるかどうか、本人確認を行うことだ。ナンバーディスプレイを確認したうえで、非通知であれば「こちらから折り返し電話をするから」などといって電話番号をいわせるよう仕向けるのも1つの手である。それを渋るようであれば怪しいと見当がつく。「おれ、おれ」といってきたら、うその名前を挙げてみて、積極的に相手を引っ掛けるのも面白いだろう。いくばくかの金でこうしたトラブルを解決しようという姿勢にはうなづけないものがあるのだが、こうした詐欺にだまされないためにはまず、相手がなりすましを行っていないかどうかを確認することが基本だ。
対岸の火事ではない
一連のオレオレ詐欺を対岸の火事のように思っている方も多いかもしれない。だがこれは、企業のセキュリティ、特に人のセキュリティ意識を考えるうえで、非常に参考となるケーススタディだと思う。
ソーシャルエンジニアリングはさまざまな角度から仕掛けられる。
やや大きめの企業であれば、別の部署の人間を装って、いかにも「わたしは関係者ですよ」と振舞えば、相手も気を許し、重要な情報を提供してくれるかもしれない。あるいは「システム担当のものですが、システム変更に伴って動作確認を行っています。ついてはIDとパスワードの確認をしたいのですが……」などと理由を付けて、アカウントを聞き出したり、思いどおりのパスワードに変更させることも可能だろう。
また、例えば取引先を装って、「(上司の)△□さんにお世話になっている凸凹株式会社の××です。△□さんからあなたのことはよく伺っています。実は、先日いただいた見積もりの書類を自宅に置いてきてしまい、非常に困っています。至急必要なので、お手数ですがかくかくしかじかの番号までFAXで送っていただけませんか?」などといわれたら、どうするだろう? 何の疑いもなく、相手の身元を確認することもなく送信してしまうのではないだろうか? でもこれは、言葉遣いこそ違うけれども、紛れもなくオレオレ詐欺をちょっと変形させただけの手法だ。
こうした事態を防ぐには、ソーシャルエンジニアリングではどういった手法が使われるか、どんな被害が及ぶのかについて理解を深め、何らかの重要な情報を提供する際には確実な身元確認やコールバックといった手法を用いるよう、繰り返し啓もうするしかない。社員1人1人の意識向上が図られ、業務の際には「いま話している相手は本当に当人だろうか」「この情報は確認することなく伝えてしまってもいいものだろうか」と自問自答するようにならない限り、被害を防ぐことはできないだろう。
ただ、日本企業の場合は、一連のソーシャルエンジニアリングをやりやすくする強力な小道具がある点が心配だ。それは名刺である。その辺で簡単に作れてしまう名刺1枚を信用してくれる企業の何と多いことだろうと、常々心配になってしまう。実際わたしの経験では、名刺を差し出し、大まかな取材意図を告げるだけで、さまざまな情報や裏話を聞くことができるし、企業によってはずんずんオフィスの中に入り込むことができる。時には、「すみません、あいにく名刺を切らしてしまいまして……」とすまなそうに受付に申し出るだけでも、疑われることなく社内に入れてしまう。そんなにわたしを信用してくれていいの? と逆に聞きたいくらいだ(だからといって悪用はしてませんよ、念のため)。
けれども、オレオレ詐欺の被害件数は東京都内で約400件(被害相談および未遂を含む)、被害総額は約2億2000万円(7月25日現在)にも上っているなどという数字を見ると、自宅でもオフィスでも、もうちょっとだけソーシャルエンジニアリングに対する危機意識を持った方がいいのではないかと思わされる。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.