うっかりだまされてしまう8つの質問：あなたを狙うソーシャルエンジニアリングの脅威（2/3 ページ）

[佐藤隆，ITmedia]

会話のマジック？　油断禁物の8つのやり口

1.権威に弱いタイプは注意――「ネームドロップ」

　権威に弱い人間というのは案外多いものだ。相手がこのようなタイプだった場合、プロの詐欺師は、経営者や内部監査人、客先の担当者の名前を使って情報を引き出そうとする。組織で定められたルールがあっても、上司が例外処理を認めることの多い企業や情報管理が徹底されていない企業は、ネームドロップに対する防御が弱い傾向にある。また、この方法は情報を囲い込んでいるタイプにも効果があると言われている。特に、次に説明するハリーアップと組み合わされることが多い。

2.振り込み詐欺の常とう手段――「ハリーアップ」

　相手に回答期限を迫って、考える時間を与えさせない方法だ。「振り込み詐欺」にも実際に使われており、第三者に助言を求める時間的な余裕を与えない。その結果、限定された情報の中から結論を導き、必要な情報を引き出す。プロの詐欺師にとっても必要な情報を短時間で入手できるメリットがあるが、本当に時間がない場合は、急ぎすぎて、失敗する可能性も高くなると言われる。

3.善意があだに――「フレンドシップ」

　ネームドロップは権威のある人間になりすます方法だが、フレンドシップは同僚や仲間であると偽り、情報を入手する。同僚のふりをすることで、相手が心を許し善意から情報を提供することを狙っている。ネームドロップの効果がない相手に使われる場合が多い。

　例えば、アクセスポイントの電話番号、内線番号、支店コードといった情報は通常PCに記憶させ、自分で記憶していることはあまりない。そのため「誤って消した」と偽っても不審がられることが比較的少ない。また、情報を伝えた者は善意から行っているので、記憶に残らないという傾向もある。身内意識の強い部署は意識して注意すべきだ。

4.疲れたころに最後の質問――「ロングタイム」

　ハリーアップとは対照的に、話を長引かせることで相手に早く電話を切らせたい、という気分を高めて情報を引き出す。自分が電話を切れない立場にある場合には特に注意してほしい。

　この手法を使うプロの詐欺師は、入手したい情報を伝えれば電話を切ることができる、という雰囲気に巧みに誘導する。対応に疲れ、電話を切りたくなったころに「最後の質問」を投げかけられると、人は心が緩み、重要な情報を提供してしまうものだ（ラストクエスチョンとも言われる）。詐欺師にとっては時間がかかる手法となるため、あらかじめ話の内容を特に念入りに準備していることが多い。

5.専門用語を多用する人に注意――「テクニカルワード」

　専門用語を多く盛り込んで話をする方法だ。これを単独で使用することはなく、仲間意識を高める手段として使うことが多い。ここから「フレンドシップ」に展開させたり、「ロングタイム」を実現させる手段となる。特に情報システムには、固有のシステム名や専門用語が多く使われている。固有のシステム名などを挙げて話をされると、普通の人なら電話の相手を身内であると誤解してしまう。