だます人の視点――「自分はだまされない」が通用する？：あなたを狙うソーシャルエンジニアリングの脅威（2/2 ページ）

[粟森120，ITmedia]

　「例えば、ネットワーク管理者を演じる場合、声色は高くもなく低くもなく、論理的かつ事務的な印象を与えるようにする。また、ネットワーク管理者は業務性質上、セキュリティ情報などを扱っているから、自分からはできるだけ新しい情報を話さず、社交的な雰囲気を出さないようにしたりする」

　A氏の経験の中で特に効果的だったのは、上司へのなりすましだったという。「上司といっても、直属の上司ではすぐにばれる。大企業であれば、ほとんど話したことがないような代表取締役などの役員とか、公認会計士、弁護士、検査官といった、権威があって少し遠い存在がいい。しかし、情報はシステムに入っていることがほとんどなので、一番簡単なのはやはりネットワーク管理者。システム変更やセキュリティのためと言えば、こちらの指定したパスワードに変更してもらえることも多い」

　口頭では相手に怪しまれると判断した場合は、電子メールのアドレスを偽装するなどして同様になりすませばいい、とA氏は話す。ただ、電話越しでも簡単に話してくれる人は今でも多いというのが同氏の実感だ。

思い込みが一番危険！　相手は本当に知っている人？

　「そういえば、ネットワーク管理者ではないが、情報セキュリティ会社の人物を演じて、少しだけもうけたことがある」とA氏は続ける。

　知り合いからとある団体が提供している名簿CD-ROMを渡されたのがきっかけだった。知り合いは会社の営業用として名簿CD-ROMを活用していたが、複製を防止するために、コピー＆ペーストもできない。不便だから名簿データを取り出し、ExcelやCSV形式にできないか、と相談された。

　A氏は早速ソフトの分析を行った。紙出力が可能なことから、OSレベルで出力デバイスを追加できる点に着目し、Acrobat PDF Writerを追加した。これにより、名簿データをPDFファイルとして出力できた。このPDFファイルはコピー＆ペーストが可能なため、Excelデータに変換できる。この方法を使えば印刷物を業者にデータ入力させる費用の半分以下で済む。彼はこの対価として30万円を手にしたが、ふとある考えが頭をよぎった。

　「この脆弱性を利用すれば、同じ開発元が製作するCD-ROMのデータは同様に吸い出せる。同じCD-ROMを使っている人をソーシャルエンジニアリングで探し出し、変換を望む人に売れば、出回っているCD-ROMの数だけもうけが出るはずだ」

　「もちろん、そんなことはしなかった」。A氏は笑って話したが、代わりにこの脆弱性を警告するため、開発元を突き止めることにしたという。その時に使った手段も1つのソーシャルエンジニアリングと言えそうだ。

　まず、A氏は顧客の振りをしてこの団体に「御社のCD-ROMを見て、ぜひうちでも使用したい」と電話をかけた。電話に出た年配風の男性は、何の疑いもなく開発元の連絡先を教えてくれた。商品を便利だとほめたのだから、これくらいのことは好意を持って教えてくる。あとは、情報セキュリティ関係の企業に勤める人物と名乗って、開発元の連絡先に警告した――。

---

　A氏が話すように、他人になりきるだけで簡単に目的の情報を引き出せるだろうか？　ソフトウェアの開発元といった重要度の低い情報ではなく、社内情報ともなれば話す側の口は重くなるだろう。「もちろん、それにはプラスアルファのテクニックがある」とA氏は話した。