衰えを知らない、だましの技術の進化：あなたを狙うソーシャルエンジニアリングの脅威（1/2 ページ）

ソーシャルエンジニアリングの手法を「トラッシング」や「ネームドロップ」などタイプ別に分類した。しかし現在ではそのテクニックはより細分化し、新しい手法が生み出されている。

[佐藤隆，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「あなたを狙うソーシャルエンジニアリングの脅威」でご覧になれます。

　連載の第1回でソーシャルエンジニアリングの手法をタイプ別に分類したが、このような必要な情報を入手するための行動パターンは、何も人の心理を悪用するソーシャルエンジニアリング固有のテクニックというわけではない。

　例えば企業が行っている営業向け研修は、まさにそのようなテクニックを教育する場といえる。営業研修では、顧客の要望を聞き出し方や、信頼できる自分を演出方法、取り引き上で相手よりも優位に立つための行動パターンを教え込む。研修を終えた社員は、教わったテクニックを利用して、製品やサービスを効率的に販売できるようになる。営業の現場で使われる手法も、実はソーシャルエンジニアリングに取り入れられている。

店舗販売の手法を取り入れる詐欺師たち

　ソーシャルエンジニアリングを使って必要な情報を入手するには、多くの相手と交渉する必要がある。数回電話して目的の情報を入手できるということはほとんどない。そこで詐欺師たちは、企業の多くの社員の中から、できるだけ無関係な相手を排除する作業を最初に行う。どんなに高度のテクニックを駆使しても、相手が必要な情報を持っていなければ、時間の無駄となってしまう。そこで、相手を見極める最も簡単な手法として、店舗販売で採用されているのと同様のテクニックを使用している。

　読者の誰もがデパートなどの売り場に入ると、店員から「探し物は何ですか」と質問された経験を持っているはずだ。このような質問は販売する店舗側の人間からすると、訪問客が単なる冷やかしなのか、購入意思を持っている客なのか、を判断するための言葉として機能している。冷やかしの客であれば表面的な回答しか返ってこないが、明確な探し物がある客は具体的な反応を返してくる。これにより、店員は顧客を見極めて効率的な販売を行うことができるのである。

　ソーシャルエンジニアリングを使用する人間は、これと同様のことを行っている。相手が目的とする情報を持っているかどうかを見極めるために、その場の状況に応じた質問のバリエーションを用意している。その質問に対する相手の応対から相手の置かれた立場を判断して、自分にとって都合の良い相手を選ぶ、という行動を行っている。

コールドリーティングとNLP

　また、彼らは相手が要求を拒否することも想定内として行動している。最も簡単なソーシャルエンジニアリングの手法として、肩書きや権威を偽る「ネームドロップ」と呼ばれる方法を紹介したが、当然これに動じないタイプの人間もいる。例えば、経理伝票のチェックや物品購入の担当者は、権威による誘惑や同僚からの頼みで自分の判断を変えるということはほとんどない。そのような担当者は、権威や誘惑に負けないということが職務上、重要な任務であると自覚しているからだ。

　このような場合、詐欺師は相手から強引に情報を引き出すということはしない。相手に納得してもらい、自主的に情報を提供してもらうための作業を淡々と実施するだけである。

　そのため、瞬時に人を信じ込ませる話術であるコールドリーティングや、五感や言語を使って自分自身を整理する神経言語プログラミング（NLP）などと呼ばれる方法も取り入れる。これらの手法を活用して、相手との関係を見極め、自分の好感度と信頼を高めていく。彼らは相手が「話してみると、良さそうなやつだ」「こいつは参考になる話をしてくれる」「自分のことを考えてくれている」といった良い印象を抱くまで、地道な努力を重ねようとする。