だます人の視点――「自分はだまされない」が通用する？：あなたを狙うソーシャルエンジニアリングの脅威（1/2 ページ）

「自分はだまされない」。そう考えている人は多いだろう。ただ、人間の心理を突いたソーシャルエンジニアリングのテクニックに気付いていないだけかもしれない。

[粟森120，ITmedia]

　「振り込め詐欺」や「フィッシング詐欺」など新手の詐欺が世間を騒がしている昨今、自分は絶対に引っかからないと自信を持っている人は多いだろう。「むしろ、一度でいいから電話をかけてきてほしい。冷静かつ論理的に対応して、相手の居所を突き止め、警察に突き出してやる」――筆者はそう友人に話す1人だった。何百万もの大金をいとも簡単に振り込むなんて、よほどの慌て者かお人好しだろう。ちょっと考えれば矛盾に気付くはずだ。

　これら詐欺などの裏で使われている手法に「ソーシャルエンジニアリング」と呼ばれる技術がある。話術や心理作戦でネットワーク管理者や社員から情報を引き出し、目的を達成するいわばだましのテクニックだ。A氏は、IT技術だけでなくソーシャルエンジニアリングを利用して、さまざまな情報を入手してきたという。

顧客サポートマニュアルがネームドロップのヒントに

　「ソーシャルエンジニアリングのテクニックの1つに、電話越しで誰かになりすますというの手法がある」――A氏は落ち着いた口調で話す。狙いを定めた相手の身内や上司の振りをして、必要な情報を少しずつ引き出し、最終的な目的に近づいていくという。特にこのような権威を利用するなりすましの手法は「ネームドロップ」と呼ばれる。「単純だが、顧客やユーザーになりすますのも手だ」

　A氏がテクニックを高めたのは、顧客サポート業務を行った経験からだったという。サポートセンターには犯罪対策用のマニュアルが用意されていた。そこで人の特徴は話のどこに表れるのかを知った。

　「実は、某メーカーで顧客サポートをしていた経験がある。サポートセンターというのは、顧客の窓口なので脅迫電話などがかかることも想定されている。普通、脅迫電話がかかってくればオペレーターは動揺して、警察に適切に状況を報告できない。そうならないために、専用の確認項目が書かれた用紙を渡された」

　この用紙には、人物の性別、年齢、名前、なまりやどもりがあるか、論理的か感情的か、何か繰り返して言った言葉はあるか、どのような用語を使用したか、早口かのんびり話すか、背後に雑踏や話し声などのノイズは聞こえたか――さまざまな人物確認項目が並んでいた。これを応用すれば、想定している人物を演じることは意外に簡単だと気付いた。