親切にしようとするあなたの心を利用しようとする人の存在と、それに利用されてはいけないという話

雑記

amazonにてアカウント情報が流出した、という事件がGigazineで紹介されている

gigazine.net

犯人は、被害者の名前とメールアドレス、"住所"を用いて、被害者の本当の個人情報を得た。被害者は被害に気づきamazonに自分ではないことを知らせ、対応を要請したものの、その後もamazonは犯人にだまされ続けた。犯人の目的はクレジットカード番号だったらしく、カードの下4桁を聞き出そうとしたが幸いそれには失敗している。

これが日本だったら〇天あたりに対象を変えてチャレンジするところだ。メールアドレスが間違っていたとしても、「そっちのアドレスに登録してましたか」といって、別アドレスとうっかり間違えたふりができてしまう。なんせ住所が合っているのだから、簡単だろう。

 

amazonのケースでは、おそらく最終目標はカード番号である。でもそれを知っている人に直接聴いたら教えてくれるかというと、それは絶対にない。だから犯人はちょこちょこと情報を集めていく。今回であれば住所と電話番号、あるいはIDやパス、前回購入した商品などである。一定数集まると、本人を偽装する強力な情報になりうるため、実はこのような情報は侮れない。ところで、DV被害者の場所を発見するためには、ワンステップで可能だということが明らかになった。最悪だ。

 

はこれはソーシャルエンジニアリングという人間の心理的な隙を突いて個人の情報を得るれっきとした方法である。企業から個人情報を盗むといえば、ハッキングを思い出す人のほうが多いだろうが、実は脆弱性は機械だけではなく人にも存在する。

 

実のところ、今回起こったことは目新しい技術でも詐欺でもなんでもない。役所でDV被害者の避難先を聞き出したDV加害者のことはご存知だろうか。警察を名乗って個人情報を引き出す手口も一時期流行した。「電話で他の人の電話番号を聞かれても教えてはいけない」といわれたことはないだろうか。『銀行を名乗って電話で暗証番号を聞くことはありません』というポスターを見たことは?これも実はソーシャルエンジニアリングのひとつだ。では、twitterで"行方不明になった女性"の情報提供を呼びかけるツイートを見たことは?私はそれを拡散したり情報提供した人をたくさん見た。もしかしたらその情報は、ストーカーへの情報提供だったかもしれないにもかかわらず、多くの人が情報提供していた。悪夢だった。人探しだと普通は警察に頼むもので、SNSで知らない人をあたろうとしている場合は怪しいと思ったほうがいいと思う。

情報を提供した人々がやっていることは善意である。別に買収されたり不正を行っているつもりもない。しかし引き起こす結果は最悪である。

 

ちなみに、盗られる情報はさまざまである。たとえばだが、ある企業のある部署に勤めている人の情報を、ヘッドハンティング会社がほしがることもある。その場合、その部署の人々の名前とメールだけでもいいわけだ。

 

私たちは、知らず知らずのうちにいいことをしているつもりで誰かに誰かを売り渡しているかもしれない。世の中には躊躇なく誰かの気持ちを利用して踏みにじる人がいる。親切にしようとするあなたの心を利用しようとする人の存在を、心の隅に置くぐらいでもいいと思う。

 

 

ソーシャルエンジニアリングの手法は、この本が詳しい。お勧め。とにかく実例が多く、度肝を抜かれた。

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法