衰えを知らない、だましの技術の進化：あなたを狙うソーシャルエンジニアリングの脅威（2/2 ページ）

[佐藤隆，ITmedia]

ネットに場所を移したソーシャルエンジニアリング

　電話では相手を疑っても、Webサイトや電子メールに書かれた内容は受け入れてしまうという人が現在は意外に多い。このような心理を悪用する典型的な手法が、フィッシング詐欺やワンクリック詐欺と呼ばれるものである。

　例えば、振り込み詐欺のように電話越しに振り込みを要求しても、多くの人はこれを警戒する。しかし、取り引き先を詐称したメールや金融機関をかたるメールに書かれたリンク先に、いつも利用する金融機関を模した偽Webサイトがあると、すっかりだまされてしまうのである。このようなタイプの人はITの素人というわけではなく、実は中途半端にITを使いこなす人に多い。

　なぜなら、ITに弱い人は自分の判断に自信が持てないため、メールに書かれた内容を電話で銀行に確認したり、職場の同僚などの第三者に何でも相談しようとする。そのため、第三者に詐欺を見破られ、すぐにだまされるということがない。その一方で、いつも仕事上の経理処理で金融機関のサイトを利用しているような人が引っ掛かりやすい。彼らは日々のルーチンワークとして作業を行っているため、いつもの取り引き先の金融機関のサイトと同じ画面が表示されると、細かい点を気にすることなく、事務的に作業を行ってしまうからだと思われる。最近は、このような心理を見越したソーシャルエンジニアリングとしてフィッシングが流行している。

　また、日本で被害が多いものにワンクリック詐欺と呼ばれるものがある。海外ではワンクリック詐欺よりもフィッシング詐欺の被害が多く、ワンクリック詐欺の被害が多いのは日本独特の現象だ。理由として考えられるのは、わいせつなコンテンツにアクセスした「うしろめたさ」や「恥じらいの意識」といった日本人特有の強い心理が作用しているためだと考えられる。実際に、海外ではドラッグ、違法ソフトの売買を紹介するメールが多いのに対し、日本では出会い系やわいせつサイトを紹介するものが多い。

　しかもワンクリック詐欺でお金を振り込んだ人は、犯人グループによって個人情報が売買され、さらなる犠牲者になる可能性が高い。このような詐欺にもうけがある以上、犯人は今後も商売を続ける。

　フィッシング詐欺やワンクリック詐欺を防止するのは、何も技術的な対策ばかりではない。人間のセキュリティ、つまりソーシャルエンジニアリング対策も求められているのである。