知らない人との LinkedIn でのつながりには注意が必要です。

私の場合、知らない人から何の紹介もなくつながりリクエストを突然受け取ったら、無視することにしており、皆さんにも、そうすることをお勧めします。そして、IT セキュリティの観点からのみ、これをお勧めしているわけではありません。私自身は、意味のあるつながりのネットワークを築くことが重要であり、量より質を重視すべきだと考えています。実際に話したことのある 800 ～ 1,200 人のネットワークの方が、まったく知らない 8,000 ～ 10,000 人のネットワークより価値あるものなのではないでしょうか。

ソーシャルエンジニアリングや IT セキュリティの点で言えば、LinkedIn はプロフェッショナルの優れたソーシャルメディアプラットフォームではありますが、ソーシャルエンジニアリングや攻撃ベクトルの目的においても極めて有効なプラットフォームであり、フィッシング、スピアフィッシング、ホエーリングで企業の従業員に接触する手段となります。

事実

• LinkedIn は、標的を探す攻撃者にとって、攻撃のネタになるデータの宝庫である
• 詐欺師やサイバー犯罪者は、LinkedIn をさまざまなタイプの詐欺に使って、LinkedIn の正規のユーザーである我々全員に対して、ソーシャルエンジニアリング、フィッシング、スピアフィッシング、ホエーリングを展開する

詐欺師の究極の目標は何でしょうか。

それは間違いなく、企業の IT チームや企業が利用している IT マネージドサービスプロバイダが実装しているセキュリティソリューションを迂回して、企業のシステムに不正侵入することでしょう。

コンピュータへのアクセスを手にした攻撃者は、企業のシステムを水平移動できるようになります。そして、データの不正取得、ファイルの暗号化、コンピュータリソースの乗っ取り、コンピュータでの仮想通貨のマイニング、CEO への詐欺メールによる金銭の要求といった、それぞれの攻撃者が目的とする行為を実行します。

このような行為はどのように可能になるのでしょうか

第 1 段階 – 信頼と社会的評価の確立、サイバー偵察活動

多くの人が暗黙のうちに、LinkedIn ではすべてが正規のアカウントであると信じています。さらには、自分と同じような業界で働く人、自分につながりのある人、つながりをリクエストしてくるリクルータは無害だろうと考えてしまう傾向があります。

これこそが間違いの元です。
詐欺師やサイバー犯罪者は、次のような能力に長けています。

• 社会的評価を確立する。
• 信頼の証拠のほとんどを既存のつながりや共通するつながりを使って作り出す。
• サイバー偵察活動：標的の選定とスパイ活動。受動的な方法で標的に関するできるだけ多くの情報を収集してから、能動的な方法へと移行し、偵察活動を行う。

攻撃者は、標的自身、標的のネットワーク、そしておそらくは、出張やその目的地、上司や同僚の名前といった、標的のプロフィールから引き出すことのできるあらゆる情報を手に入れます。

これらの情報によって、第 2 段階（実際の接触）が極めてもっともらしい、信用するに足るものになります。90％ の時間が第 1 段階の調査と準備に費やされるのは、おそらくは、そのためでです。

第 2 段階：攻撃または「接触」

サイバー犯罪者は、悪意あるリンクを含むフィッシング詐欺メールで、標的型フィッシング攻撃を開始できます。さらには、標的である LinkedIn のメンバーとつながりがなくても、（LinkedIn の InMail 機能を使うことで）スピアフィッシングやホエーリングのメールをさらに標的を絞った攻撃を仕掛けることもできます。

また、場合によっては、詐欺師が古くからある電話を使い、ホエーリングメールのフォローアップとしてメールの要求を電話で確認することもあります。

これらのいずれの場合も、第 2 段階の方が短く、第 1 段階の調査に十分な時間をかけることで、第 2 段階の成功率が高くなります。

結論：

1. 実際に会って話したことがあったり、LinkedIn で話したりしたことのない知らない人からのつながりリクエストを承認しないことがすべてです。
2. つながりに害は無いように思えるかも知れませんが、トラブル発生のリスクとなり、ソーシャルエンジニアリングの被害者になってしまう恐れがあります。
3. つながりは、潜在的なリスクを増大させるものではなく、自らの資産とするべきものなのです。