2016 年 8 月 17 日 編集部記事

サイバー詐欺やフィッシング詐欺の増加に伴い、相手を誤ったために攻撃者自身が手痛い目に合う事態がいずれは発生するだろうと、我々は予想していました。この記事では、被害者に逆襲されることになった詐欺師の例と、オンラインや電話での怪し気な誘いに誰もが十分に注意すべきである理由をお話します。

• ある詐欺師が、フランス人のセキュリティ研究者である Ivan Kwiatkowski 氏の両親に偽サポート詐欺を仕掛け、ランサムウェアを送ってしまったために、自らが Locky に感染してしまうという失態を演じることになりました。事の次第は、Ivan 氏のブログでお読みいただけますが、この興味深い記事から学ぶことができるのは、技術的な知識があるならば、詐欺師の相手をしてみるのも手だということです。自分のマルウェアに感染させるとはいかないまでも、少しでも長い時間、詐欺師を振り回すことができたとすれば、簡単に利益を得ることはできないものだと詐欺師が学習するはずです。
• 次にご紹介するのは、Windows Phone を使った詐欺師が標的を誤ってしまった例です。標的になったのは、IDG のセキュリティレポーターである Fahmida Rashid 氏で、彼女は 3 か月間にわたって、あなたのコンピュータが感染しましたと知らせてきた「Windows セキュリティセンター」の人とやり取りを続けました。その結果、その犯罪集団がソーシャルエンジニアリングについては得意としているものの、電話でのやり取りには手こずっていることを見抜きました。彼女の経験から、ちんぷんかんぷんな質問を繰り返すと、犯罪者がうんざりし、最終的には諦めて電話を切ってしまうものだということがわかります。
• 最後にご紹介するには、我々ウォッチガードの社員が実際に経験した例ですが、このスピアフィッシング犯罪者は、財務部門の社員を経て、最終的には不幸にも、セキュリティ研究者、Mark Laliberte に踊らされる羽目に陥りました。攻撃者は、財務部門の社員の上司だと名乗り、電信送金を要求してきました。Marc は最近、犯罪者の情報を収集し、最終的には犯罪者の所在地と詐欺に利用されている銀行口座を突き止める方法を、CSO Online で詳しく解説したばかりだったのです。この経験から学ぶべき重要な教訓は、いかに優れたファイアウォールやフィルタリングソフトを導入している場合であっても、潜在的な脅威を全従業員に教育し、疑いを持つように周知する必要があることです。

ハッカーと聞いて、薄暗い地下室にこもっていたずらに明け暮れるティーンエージャーだけを想像してはいけません。最近では、サイバー詐欺が 1 つの本格的なビジネスモデルになることもあります。誰もが標的になる可能性がありますが、被害を回避する方法は必ず存在します。疑わしいと感じる要求を受け取った場合は、不明点があればしかるべき担当者に質問し、注意を促すことが重要です。今日ご紹介した標的のように攻撃者の悪巧みに付き合う必要はありませんが、最近の詐欺の手口をよくわかっていれば、「ナイジェリアの王子、マイク」のような詐欺師の標的になったとしても、すぐに偽物だと見分けられるはずです。