簡単に情報を話す人たち：あなたを狙うソーシャルエンジニアリングの脅威

ソーシャルエンジニアリングには、他人になりすますだけでなく情報を聞き出す複数のテクニックが利用される。その1つ1つに目新しさはないが、世間のセキュリティ意識の低さによって情報は簡単に引き出される。

[粟森120，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「あなたを狙うソーシャルエンジニアリングの脅威」でご覧になれます。

　ソーシャルエンジニアリングは、前回紹介したように他人をなりすますだけでなく情報を聞き出す幾つかテクニックが利用される。現在はセキュリティコンサルタントで、かつてソーシャルエンジニアリングを使って情報を聞き出した経験のあるA氏は、人間の会話における心理を説明してくれた。ごく当たり前にも思えるテクニックでも、意外と簡単に重要な情報を引き出せるという。

　A氏が話してくれた手法を整理すると、相手に対し情報を矢継ぎ早に与えることで、混乱させることが基本となる。専門用語を多用したり、具体的な情報を一度に大量に与えることで、相手の「うっかり」や「安心」を誘い出す。通常であれば疑う内容でも、このような状態になると、相手は気付かないうちにさまざまな情報を口にしてしまうという。

　「本当にITに関する用語に疎い人は多いという印象だ。こういった人間に専門用語のシャワーを浴びせかければ、何を言っているかすぐに分からなくなる。そればかりか、自分のことを勝手に専門家だと思い込んでしまう」とA氏。

　このような心理は、病院で医者から薬の内容を専門用語で説明されたときの状況に似ているかもしれない。「詳しくは分からないが、医者が言うのだからこれを飲めば良くなるのだろう」と安心してしまうのと同じ。ソーシャルエンジニアリングを利用する人間は、こういった心理を逆手に取る。

　そのほかにも、彼らは相手を焦らせるように誘導する話し方もするという。例えば、携帯から電話をかけ「あと10分で飛行機に乗らなければならないから、とにかくすぐに対応してほしい」と会話を始める。すると、相手はどのように対応すべきかパニックになり、判断力が弱まった結果、ついつい情報を伝えてしまうという。

　同氏が説明したテクニックの1つ1つに、それほど目新しさを感じさせるものはない。それにもかかわらず、彼がこのような方法で情報を入手できてしまうのは、相手のセキュリティ意識の低さにあるようだ。

セキュリティ意識の低い社員

　A氏はかつて秋葉原で中古HDDを購入した。まだ個人情報保護法も施行される前とあって、企業もHDDの廃棄について敏感になる前だった。そのためか、手にしたのはデータが完全に消去されおらず、その中に偶然、暗号化されファイルを見つけた。

　「情報漏えいやセキュリティが今ほど叫ばれてない当時、ファイルが暗号化されていたということはよほど重要なファイルかもしれない」とA氏は思ったという。ファイルの価値を確かめるため同氏は、その作成者を特定することにした。

　解読ツールで復号化を行ったところ、暗号化されたそのファイルはExcelの見積書だった。ファイルのプロパティからすぐに、作成者は大手企業のグループ会社に務める人物であること、そしてその作成日が分かった。

　A氏は、その大手企業の本社に電話をかけ「以前もらった名刺を紛失して、直通の番号が分からない」とファイル作成者の電話番号を入手。その後、取り引き先の振りをして当人にコンタクトを取ってみた。しかもその当人は、複雑なテクニックを使わなくとも「何の疑いもなく、そのときの取り引き内容を話した」という。

　「取引先に情報が漏れたことを伝えると話せば、信頼を損なうという危惧から金銭的な解決に応じたかもしれない。どんなささいな情報でも、さらに情報を入手して付加すれば大きな情報になる」とA氏は警告する。

　ソーシャルエンジニアリングを利用する側にとっては、どんな情報も使い方次第という。対応する側のセキュリティ意識が欠けていれば、被害に遭っていることすらも分からない。