　取引先企業の幹部になりすましたメールを送って連鎖的に人をだます“social engineering”の被害が世界で広がっているというニュースがあった。人と人との社会的関係を悪用するのがsocial engineeringと呼ばれる詐欺の手口。同じsocialでも、新型コロナウイルス対策のsocial distancingと違って、こちらはたちが悪い。

　「engineer」（エンジニア）といえばもちろん、物事を作り上げる人のこと。そして「engineering」（エンジニアリング）は作り上げる行為を意味する。この言葉に、社会や社交など人と人との関係を表す「social」を付けたsocial engineeringは「社会工学」という学問の意味もあるけれど、ITセキュリティ用語の「ソーシャル・エンジニアリング」はそれとは少し異なる。

この場合の意味は、「社会工学」ではない

　social engineeringの詐欺師たちが作り上げるのは虚偽の世界。狙った相手に照準を合わせて入念な下調べを行い、その人物に関する情報をかき集め、社会的関係を利用して相手をだまそうとする。

　最近では相当手の込んだsocial engineeringの手口が横行しているらしい。セキュリティ企業のGroup-IBによると、今回発見されたのも、まさにそんな手口だった。

Group-IBの記事

The threat actors leverage perfectly orchestrated social engineering technique by “persuading” people holding significant corporate positions to open a non-malicious PDF email attachment coming from an authentic address in their contacts.（Group-IB）

脅威集団は完璧に仕立て上げたsocial engineeringの手口を利用して、企業の要職にある人物を「説得」し、連絡先に登録されている正規のアドレスから届いた電子メールに添付したPDFを開かせていた。

　当然ながら、「怪しいメールの添付ファイルを開いたり、リンクをクリックしたりしてはいけない」という常識は多分、誰でも知っている。そこでsocial engineeringを仕掛けてくる相手は、いかに怪しく見せないかに知恵を絞る。

　今回の手口では、企業幹部や経営者の電子メールアカウントが不正侵入され、そのアカウントから詐欺メールが送信されていた。受け取った相手は、いつも連絡を取り合っている大切な取引先の幹部からメールが届いたと思い込む。しかも添付のPDFファイルは、Microsoftの正規サービスのファイル共有通知そっくりに作り込まれていて、取引先の社名や幹部の氏名まで入っていた。

　こうした手口にだまされて不正なファイルを開いたり、リンクをクリックしたりすれば、マルウェアに感染して重大な情報が流出する恐れもある。

　人の不安に付け込んだり、誰もが関心をもつニュースや話題に便乗したりするのもsocial engineeringの常套手段。今は新型コロナウイルス騒ぎに便乗して保健機関をかたるメールを拡散させたり、マスク販売に見せかけたWebサイトを開設したりしてだまそうとする手口が横行している。

　こういう手口こそ、社会的距離を置くsocial distancingや、社会から排除するsocial distanceで対抗したい。