サイバー攻撃と詐欺を掛け合わせた「ハイブリット攻撃」その手法と具体的対策とは

なぜ、これほどまでに”「オレオレ詐欺」や「架空請求」の被害に遭わないように”と注意喚起されているにもかかわらず、被害に遭う人が後を絶たないのか。なぜ、サイバー攻撃対策を様々な角度から行うよう警鐘を鳴らし情報提供をしても、被害に遭う企業や組織が後を絶たないのか。

それは、騙す手口やプロセスが「ハイブリッド化」しているから。今回はその点について詳しくご説明しましょう。

この記事の目次

1 相反するもの同士が手を組むと…
2 サイバー攻撃と詐欺のハイブリッド
3 ハイブリッド攻撃の具体的な手法
4 ハイブリッド攻撃の対策と注意点

相反するもの同士が手を組むと…

「サイバー攻撃」と「詐欺」は、一見すると似ているように見えますが”全くの別物”です。

サイバー攻撃が、企業や組織、あるいは個人に対して、インターネットやソーシャルメディアなどを駆使して情報を盗み取ったり破壊（クラッキング）したりするのに対し、詐欺は主にターゲットから金銭を要求したり盗み出す為に用いられるテクニックです。

分かりやすく言えば、肉食動物が肉を手に入れる為にする”狩り”が「サイバー攻撃」なら、草食動物がそこにある草木や果実を”食い尽くす”のが「詐欺」です。一方には”狩り”というプロセスが存在し、一方にはそのプロセスは存在しません。

それぞれがそれぞれのテリトリーでそれぞれの餌を手にする。決して混在する事はありませんでした。ソーシャルエンジニアリングを詐欺とし、サイバー攻撃に繋げていっていたのなら混在していたと思われがちですが、本当の意味での混在はしていませんでした。

ですが、もしこの相反するもの同士が手を組み、お互いの特徴を活かし、予想も出来ないトラップを仕掛けてきたら…？

ソーシャルエンジニアリング
ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法
参照ソーシャルエンジニアリングとは？具体的な手法から対策を考える

サイバー攻撃と詐欺のハイブリッド

サイバー攻撃の最大の特徴は、インターネットを介した広範囲に渡る攻撃が可能であり、様々な角度から多種多様な攻撃を仕掛けられる事にあります。一方で詐欺の最大の特徴は少ない時間と小さな空間でピンポイントで行う事が出来る点にあります。

二つの特徴を見てみると、ある事にお気付きになりませんか？…そうです。お互いがお互いのデメリットな部分を補う事が可能なのです。

サイバー攻撃は膨大な時間と労力を必要とします。その時間と労力を詐欺により補う事が可能であるなら…
どうしても小さく短時間でしか成果を得られない詐欺。それをサイバー攻撃の力を利用し広範囲に展開出来たら…

それが、昨今見え隠れしている”サイバー攻撃と詐欺のハイブリッド化”です。

ハイブリッド攻撃の具体的な手法

サイバー攻撃と詐欺を合わせたハイブリッド攻撃の事例を紹介しましょう。

詐欺を得意とする人物（組織）をA、サイバー攻撃を得意とする人物（組織）をBとします。

今回のターゲットは○○県。

Aは、SNSなどのソーシャルメディアを使い様々な情報を集めていた中で、◯◯県の住民からある情報を入手しました。

Aが入手したその情報は以下のようなものです。

この時期、◯◯県の農家は電力会社から補償金が（毎年）支払われている。

Aはこの情報をより詳細に集め、Bに話を持ちかけます。

BはAから貰った情報を基にターゲットとなる地域について、公的機関が公開する情報にアクセスし、トラップを仕掛けていきます。偽サイト、酷似したメールアドレス、時期的な情報、これらはBが最も得意とするツールや手法であり、トラップは容易に準備できました。

この間、Aはソーシャルメディア内でさらに詳しい情報や、様々な個人情報を収集していきます。

こうしてAとBのコンビネーションにより、◯◯県では「架空請求被害」が多発。TVでは被害額や被害の内容がニュースで報道され、自治体の広報により注意を促す地域放送が連日流されることとなったのです。