悪党に努力は要らない――“カモ”はまだそこら中に

見え見えで初歩的なスパムに引っかかる人はまだたくさんいる。悪党はわざわざ高度なだましの手口を使う必要などないのだ。

[Jim Rapoza，eWEEK]

　オー！　ノー！　スパマーもフィッシャーもマルウェア作者も悪賢くなり、犠牲者をだまして食い物にする手口が巧妙になっていく。どうしたらいいんだ。

　GoogleのPostiniチームによる新しい報告書（PDF）によると、この数年スパムとフィッシング攻撃のレベルは高まっており、新たな攻撃の手口、特にSNSなどの新しいWeb2.0技術を使った手法も出てくるはずだ。この報告書からは、悪党が特定の企業の幹部といった、ハイレベルな標的を狙うであろうこともうかがえる。

　この報告書が正しいのなら、犠牲者をだましてマルウェアをインストールさせるために、悪党たちはいっそうの努力をしていくように思える。

　しかし、わたしは疑問を感じている。なんでわざわざそんなことをするのか、と。

　つまり言いたいのは、わたしにはいささか、（バスケットボールのエキシビジョンチーム）ハーレムグローブトロッターズが、（グローブトロッターズに大負けしたことで有名な）ワシントン・ジェネラルズに勝とうと、新しい高度な戦術を編み出そうとしているように思えるということだ。

　わたしから詐欺師へのアドバイスはこうだ。「そんな手間のかかることはしなくていい。これからも見え見えで初歩的なスパムやフィッシングサイト、マルウェア付き添付ファイルに引っかかってくれるであろう無知な反セキュリティ主義者は世間にまだたくさんいるのだから」

　現実を受け止めよう。セキュリティ意識は向上していない。専門家やセキュリティベンダー、IT部門の絶えざる努力にもかかわらず、「ウイルスだ」といわんばかりの添付ファイルを進んでクリックしてしまう人はまだ十分すぎるほどいる。それにわたしが聞いたところでは、多くの企業では、ウイルスに最も感染しやすいのは経営幹部だ。だから、凝った手を尽くして彼らを狙う必要なんてない。

　ユーザーセキュリティ以外でも、事態は悪化している。企業のIT担当者から、勤務先がセキュリティインフラを強化しないとか、セキュリティ対策を減らした（今の景気では、そうした動きが加速することは確実だ）といった話を聞くことが増えた。

　事態をさらに悪化させているのが、セキュリティベンダー自身、革新や高度な戦術分野に打ち込んでいないということだ。この2〜3年、興味深いセキュリティ製品の革新や進歩はあまり見られなくなったと思う。

　つまり今の状況というのは、ユーザー、企業、セキュリティベンダーのおかげで、反セキュリティ主義者を見つけてだますのがこれまで以上に簡単になっているということだ。そんな世界では、高度なだましの手口は必要ない。単純なスリーカードモンテ（カード当てマジック）で十分なのに、わざわざ手間をかけて「スペインの囚人」詐欺をやる理由はない。

　もちろん、状況は変わるかもしれない。ほとんどの詐欺やウイルスは大した労力を使わなくても避けられると皆が理解するようになる可能性もある。ちょっと疑って用心すれば、自分のシステムを守ることができる。企業がそうした賢明なセキュリティ慣行を実行すれば、恥ずかしい失敗をせずに済むだろう。

　そうなれば、悪党は不正に利益を得るためにもっと賢明になり、もっと労力を注がなければならないだろう。

　だがもちろん、今はそんな状態ではない。それどころか単純なスパム、フィッシング、ウイルス攻撃の犠牲者を見つけるのは、赤ん坊からキャンディーを取り上げるくらい簡単だ。たくさんのユーザーや企業が大人になろうという気になるまで、悪党たちは高度な手口が要らないことに気づくだろう。

原文へのリンク