標的型攻撃のおそろしさは、ソーシャルエンジニアリングをたくみに使いこなしアプローチしてくるなど、手口の巧妙さにあります。
ソーシャルエンジニアリングとは、人間の心理をたくみに利用し、注意力のスキや行動のミスにつけこんで、個人や組織が持つ秘密情報を入手する方法のことです。
細心の注意を払っていても、つい標的型攻撃のメールの被害にあってしまうことがあるのです。
パソコンやスマートフォンに関係する情報を盗み出すためのソーシャルエンジニアリングの主な手口には下記のようなものがあります。
・ショルダハッキング
・トラッシング
・なりすまし
ショルダハッキングとは、パソコンやスマートフォンを使っているユーザーの後ろから肩越しにユーザーの情報や組織の譲歩を盗みとることです。英語で肩のことをショルダーというところからこう名付けられました。
トラッシングとは、ユーザーが捨てたメモや機密書類を、ゴミ箱をあさってユーザーの情報や組織の情報を盗みとることです。英語でゴミ箱のことをトラッシュというところからこう名付けられました。
なりすましとは、メールや電話で警察やシステム管理者、サイトオーナーになりすましてユーザーに連絡し、ユーザーのパスワードやクレジットカード番号を入力させたり、口頭で伝えさせたりすることです。
ショルダハッキングとトラッシングは確かに危険ですが、発生する場所が極めて限られておりますので、なりすましに比べて被害は限定的です。
たとえば、ショルダハッキングはカフェや電車の中でパソコンやスマートフォンを使っている際に被害にあう恐れが高いですが、それ以外の場所ではそれほど被害はでないでしょう。会社で仕事をしている場合も同様で、部外者が頻繁に出入りする環境でなければ、それほど被害は発生しないでしょう。
トラッシングについても、最近は、会社でセキュリティ強化のため、機密情報はゴミ箱に捨てる前にシュレッダーにかけることが浸透してきているために、やはり被害は限定的です。
この3つの中で、最も気をつけなければならないのはなりすましです。
ここ数年、高齢者を狙ったいわゆる「オレオレ詐欺」が流行していますが、オレオレ詐欺の場合は電話を使ったなりすましが多いです。
パソコンやスマートフォンに関係する情報は、電話を使ったなりすましでは、それほど被害は発生しないようです。
そもそもパソコンやスマートフォンを使うユーザーの年齢層は、オレオレ詐欺のターゲットとされる年齢層と比べ、圧倒的に若く、電話でなりすましをしてパスワードやクレジットカード番号を聞き出そうしてもすぐに気づかれるからです。
電話でのなりすましについては、それほどの脅威ではないのですが、メールで届くなりすましについては、本当に注意が必要です。
通常、メールに添付されたウイルスやワームなどのマルウェアが無理矢理パソコンやスマートフォンの中に入り込もうとしても、ウイルス対策ソフトなどが警告を出してくれたり、防いでくれます。
しかし、なりすましの手口を巧妙に使ったメールでは、これらのマルウェアがパソコンやスマートフォンに中に入り込めるように、ユーザーにクリックを促したり、承認させたり仕向けるように振る舞います。
数年前までは、なりすましメールが届いたとしても、英語で書かれていたり、日本語で書かれていても、日本語ではない文字が含まれていたりするなど、あやしさがプンプンただようようななりすましメールが多かったです。しかし、最近はなりすましメールの精度がかなり上がってきました。
2、3ヶ月前に、身近な人が思いがけず、なりすましメールにひっかかりクレジットカードを悪用されたのを目の当たりにしました。
つい先月(2017年12月)にも、日本の大手航空会社がなりすましメールにひっかかり、あわせて3億円以上の被害が出たと報道されました。
なりすましメールを使った標的型攻撃は思いのほか、みなさんの周りに存在します。詳細は、次回以降に見ていきます。