2018/11/16

出張先を LinkedIn に公開することのリスク

2018 年 11 月 16 日 Sylvain LeJeune 著

あらゆるタイプの詐欺師にとって、情報を収集し、一般ユーザ、公的機関、中小規模企業、大企業を標的に犯罪行為を仕掛ける手段としてのソーシャルエンジニアリングの重要性が高まっています。我々はさまざまな脅威に直面していますが、この記事では、企業で働くほとんどの皆さんにとって特に関連性の高い、LinkedIn での出張に関する情報の共有について考えてみたいと思います。

次のような出張のシナリオとして、サンフランシスコ、ロンドン、あるいはソウルに出張中であるか、出張を計画している場合を考えてみましょう。出張に関する情報を共有するため、LinkedIn を使って、参加したセミナー、ワークショップ、移動中、シドニーの名所であるオペラハウスなどで撮った自撮り写真を投稿します。

誰もがやっていそうな、よくある行動です。
何の問題もないように思えますが、そうではありません。

単独であれば何の問題のないような行為であっても、他の情報と関連付けることで、大きな問題に発展する可能性があります。Secplicity の以前の記事で紹介しているように、犯罪者たちは常にオンラインで我々の行動を監視しています。監視を専門の「仕事」にしている犯罪者さえ存在します。彼らは、格好の標的を特定し、ソーシャルネットワークや専用のネットワークを使って標的を入念に調査し、標的の状況に合わせてもっともらしいメッセージ(フィッシングやスピアフィッシング)を作成します。出張中であることや目的地を明らかにすることが貴重な情報を与える行為となってしまうのは、そのためです。犯罪者にとって(また、彼らが使うアルゴリズムにとっても)、最高に美味しい情報なのです。

標的となるユーザと考えられるリスク

サイバー犯罪における偵察行為(標的の選択とスパイ活動 – 主としてオンラインで進められますが、現場に出向くこともあります)やスピアフィッシング攻撃には、熟練の作業と多大な時間が必要です。

ところが、AI の活用によって、犯罪者がこういったスパイ活動や標的の選定を大規模に進められるようになり、次のように変化することになりました。

  • 自動化とアルゴリズムの恩恵により、犯罪者が増加し、経験の少ないサイバー犯罪者でも、詐欺や情報の不正取得が可能になりました。
  • これまでには想像もできなかったほど大掛かりなスピアフィッシングが可能になりました。
  • 攻撃者が標的と同じ言語を話す必要がなくなるため、世界中のあらゆる国や地域(とりわけ、法律がほとんど存在しないような地域)からの犯罪が可能になりました。

企業の CEO や重役だけが主な標的になる時代は終わり、誰もが攻撃の標的になる恐れがあります。それは、従業員全員が突破口になって企業のネットワークへと侵入し、外部に公開されていない機密情報や金融資産にアクセスできるようになるからです。

そして、我々を狙っているのはサイバー犯罪者だけではありません。アルゴリズムも我々の行動を監視しています。

それでは、出張中であることを知らせたり、目的地を明らかにしたりすることには、どのようなリスクがあるのでしょうか。

  • 古くからある強盗を目的とする犯罪者に対しては、留守であると知らせることで、自宅だけでなく、家族も危険にさらされる恐れがあります。
  • 犯罪者の銀行口座への電子送金を依頼する BEC(ビジネスメール詐欺)の材料にされてしまう恐れがあります。これについては、具体的な例を後述します。
  • 公開されている情報をもとに詳しいプロファイルを作成されてしまう可能性があり、パスワードを簡単に推測したり、サイバー攻撃の成功率を高くしたりする材料として利用されてしまう恐れがあります。

シナリオ その 1

あなたは今、ロシアで開催される会議に参加するために出張中であり、そのことをソーシャルメディアや LinkedIn で知らせました。攻撃者があなたのふりをして会社の財務担当責任者に緊急の電子メールを送信してから電話をかけ、「ロシアで足止めされてしまったので、この銀行口座に 2 万ドルを大至急送金して欲しい」と伝えます。犯罪者がもっともらしい理由を述べて、あなたのメールアドレスを偽装してメールを送り、切羽詰まった様子で送金を依頼すれば、犯罪者の作戦はおそらく成功するでしょう。

状況を説明するメールが送られてきており、あなたがロシアに出張中であるという事実にも合致します。

このようなメールを受け取った財務担当者は、一体どのような行動を起こすのでしょうか。このような状況は、いつ起きてもおかしくなく、中小規模や中堅のさまざまな企業で、1 万 5,000、5 万、10 万といった金額の詐欺が発生しています。

シナリオ その 2

LinkedIn で必要以上に情報を共有してしまうと、会社の財務部門の責任者や担当者に対する「取引先」を名乗る業者への緊急送金の依頼に悪用される恐れがあります。このような依頼には電子メールが使われますが、場合によっては、緊急であると訴える電話がかかってくることもあります。海運業界では、世界中でたくさんの船舶が行き来しているため、「5 万ドルを今すぐ送金しないと、アムステルダムで業者が荷物を船から港に下ろせない」といった偽の依頼が送られてくることも珍しくなく、おそらく信憑性が高く聞こえるでしょう。

情報の共有(あるいは過剰な共有)と完全な非公開の間で適度なバランスを見つけるためには、常識と怪しいと思う直感に常に従うことが重要です。
判断を誤ると、自分自身、自宅、家族、勤務先のデータや金融資産がリスクにさらされることになります。

利用にあたっての推奨事項

  • 出張中の目的地を LinkedIn で事前に公開したり、現地からすぐに投稿したりするのは止めましょう。できるだけ時間を遅らせて投稿するようにします。
  • 出張先で誰かに会う場合は、プライベートメッセージで相手と連絡を取り合うようにします。出張中の予定を全員に公開する必要はないはずです。古くからある連絡手段である電話を使うという手もあります。
  • 公開する情報の選別し、国内の同僚やビジネスパートナーに限定して、会議、セミナー、出張中の立ち寄り先での写真を投稿し、コメントを共有するようにします。
  • むやみに自撮り写真を投稿するのは止めましょう。パリのルーブル博物館の前で撮った写真を投稿すれば、出張中に危ない目に合う恐れがあります。サイバー犯罪者は、皆さんの行動を観察し、自撮り写真を見ており、パスワードのハッキング、ID の不正取得、フィッシング攻撃などの目的に利用できる情報が自撮り写真に隠れているかもしれません。

最後に、我々全員が、同僚、ビジネスパートナー、友人、家族の意識向上と教育で重要な役割を果たすことを忘れてはなりません。わかりやすい言葉で伝えることが重要であり、このブログでお伝えした内容や具体的な例をその目的に役立てていただければ幸いです。

皆さん自身で心掛けていることがあれば、ぜひお知らせください。記事の内容に関するご意見もお待ちしています。

Amazon をかたるフィッシングにご注意ください (2018/12/13)