なぜ、これほどまでに”「オレオレ詐欺」や「架空請求」の被害に遭わないように”と注意喚起されているにもかかわらず、被害に遭う人が後を絶たないのか。なぜ、サイバー攻撃対策を様々な角度から行うよう警鐘を鳴らし情報提供をしても、被害に遭う企業や組織が後を絶たないのか。
それは、騙す手口やプロセスが「ハイブリッド化」しているから。今回はその点について詳しくご説明しましょう。
相反するもの同士が手を組むと…
「サイバー攻撃」と「詐欺」は、一見すると似ているように見えますが”全くの別物”です。
サイバー攻撃が、企業や組織、あるいは個人に対して、インターネットやソーシャルメディアなどを駆使して情報を盗み取ったり破壊(クラッキング)したりするのに対し、詐欺は主にターゲットから金銭を要求したり盗み出す為に用いられるテクニックです。
分かりやすく言えば、肉食動物が肉を手に入れる為にする”狩り”が「サイバー攻撃」なら、草食動物がそこにある草木や果実を”食い尽くす”のが「詐欺」です。一方には”狩り”というプロセスが存在し、一方にはそのプロセスは存在しません。
それぞれがそれぞれのテリトリーでそれぞれの餌を手にする。決して混在する事はありませんでした。ソーシャルエンジニアリングを詐欺とし、サイバー攻撃に繋げていっていたのなら混在していたと思われがちですが、本当の意味での混在はしていませんでした。
ですが、もしこの相反するもの同士が手を組み、お互いの特徴を活かし、予想も出来ないトラップを仕掛けてきたら…?
サイバー攻撃と詐欺のハイブリッド
サイバー攻撃の最大の特徴は、インターネットを介した広範囲に渡る攻撃が可能であり、様々な角度から多種多様な攻撃を仕掛けられる事にあります。一方で詐欺の最大の特徴は少ない時間と小さな空間でピンポイントで行う事が出来る点にあります。
二つの特徴を見てみると、ある事にお気付きになりませんか?…そうです。お互いがお互いのデメリットな部分を補う事が可能なのです。
サイバー攻撃は膨大な時間と労力を必要とします。その時間と労力を詐欺により補う事が可能であるなら…
どうしても小さく短時間でしか成果を得られない詐欺。それをサイバー攻撃の力を利用し広範囲に展開出来たら…
それが、昨今見え隠れしている”サイバー攻撃と詐欺のハイブリッド化”です。
ハイブリッド攻撃の具体的な手法
サイバー攻撃と詐欺を合わせたハイブリッド攻撃の事例を紹介しましょう。
詐欺を得意とする人物(組織)をA、サイバー攻撃を得意とする人物(組織)をBとします。
今回のターゲットは○○県。
Aは、SNSなどのソーシャルメディアを使い様々な情報を集めていた中で、◯◯県の住民からある情報を入手しました。
Aが入手したその情報は以下のようなものです。
この時期、◯◯県の農家は電力会社から補償金が(毎年)支払われている。
Aはこの情報をより詳細に集め、Bに話を持ちかけます。
BはAから貰った情報を基にターゲットとなる地域について、公的機関が公開する情報にアクセスし、トラップを仕掛けていきます。偽サイト、酷似したメールアドレス、時期的な情報、これらはBが最も得意とするツールや手法であり、トラップは容易に準備できました。
この間、Aはソーシャルメディア内でさらに詳しい情報や、様々な個人情報を収集していきます。
こうしてAとBのコンビネーションにより、◯◯県では「架空請求被害」が多発。TVでは被害額や被害の内容がニュースで報道され、自治体の広報により注意を促す地域放送が連日流されることとなったのです。
ハイブリッド攻撃の対策と注意点
ソーシャルエンジニアリングによる情報収集は今やSNSを使い、以前ではあり得なかった”ターゲットと親密になる”事でいとも簡単にディープな情報までもが漏洩しています。これは非常に狭くクローズドな空間。つまり、チャットやDMなど”見えない場所”で進行しています。
これにより、発見は非常に難しく被害者もプライベートな部分のやり取りもある為か、捜査などへの情報提供も戸惑い提供せずにいる場合もあります。
ハイブリッド攻撃はターゲットを選びません。個人も企業も組織も”確実に餌に食いつかせ”ます。それは人間の寂しさや辛さや悲しさといった負の要素につけ込むからです。
また、
- プロジェクトでミスをした。
- 怪しいメールを開いてしまった。
- 大きな契約が取れた!
このような会話の中にもつけ込むスキはあります。
危機意識の欠如が最も危険
SNSは、様々なビジネスチャンスや人との繋がりを得る事が出来る素晴らしいサービスです。ですが、それ故に”パッチの貼れない重大な脆弱性”がある事も忘れてはいけません。何故なら、その脆弱性はあなたの心の中にあるからです。
フィッシングメールや偽サイト対策、パスワード管理やプライバシーポリシーの見直しなどで企業や組織、個人の危機意識や危機管理も以前に比べ向上してきています。その一方でサイバー攻撃も進化を遂げている事も忘れてはなりません。
アンチウイルスソフトも、脆弱性を埋めるパッチもリプログラムも出来ない基幹システム。それはあなたの心です。”見えないもの”を”たぶんこうだろう”と想像し、信じてしまわない事が最大の対策です。
ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法
参照ソーシャルエンジニアリングとは?具体的な手法から対策を考える