システムで最も脆弱なのは人間である、と言われることがあります。堅牢なアプリケーションでも、管理者のセキュリティ意識が甘ければ、管理コンソールのパスワードが流出してしまったり、マルウェアの侵入を許してしまいます。システムに対する攻撃は、何もアプリケーションやサーバーだけに限らないのです。
　こうした、人間の心理を悪用した攻撃のことをSocial Engineeringと呼びます。

Phishing

　Phishing（フィッシング）は最も身近な攻撃例です。他人になりすましてメールを送りつけ、ログイン情報のような機微な情報を窃取します。例えば、「アカウントが凍結されました。凍結を解除するためには、ログインしてください。」といった内容のメールに偽サイトのリンクが貼ってあったらどうでしょう？思わず偽サイトのリンクをクリックして、ログイン情報を入力してしまいそうですよね。当然、入力した内容は、攻撃者に丸見えです。

BEC

　同じく、メールを使った攻撃方法として、BEC（ビジネスメール詐欺）が挙げられます。正規の取引メールと思わせて、攻撃者の口座に送金させることを試みます。過去のメールのやり取りを盗み見て、自然なメールを送ることで取引の担当者になりすまし、「送金先口座が変更されたので、今月からこちらに送金してください。」などと騙ることで不正送金させます。近年、被害例が増えているようです。

水飲み場攻撃

　攻撃ターゲットが普段よく使うWebサイトを改ざんして、マルウェアをダウンロードさせる攻撃です。普段よく使うサイトは無条件に信頼してしまう傾向があるので、攻撃が成功しやすくなります。

まとめ

　上記は一例ですが、詐欺で使われるようなテクニックは、同様に有効です。例えば、不安を煽ることで、あまり考える時間を与えず行動に移させるテクニックは、特殊詐欺でよく使われます。また占い師が、ホットリーディング・コールドリーディングを駆使して顧客の懐に踏み込んでいくように、信頼を勝ち取る技術も悪用されれば脅威になります。

　いくら科学技術が発展しても、人の心の隙はなくならないでしょう。冷静でいるよう努めても、感情を揺さぶられると視野が狭くなり、安心すると油断します。そこが、「人間が最も脆弱だ」と言われる所以だと思います。

しかし、自らが脆弱であると知ることは、攻撃に対抗する最初の一歩ではないでしょうか。もっと踏み込んで勉強する価値ありです。

EOF