実録ソーシャルエンジニアリング - 電話一本で企業を陥落させた手口
この記事は約 13 分で読めます
最も危険なサイバー攻撃は、コードではなく人間の心理を突いてくる。ソーシャルエンジニアリングとは、人を操って機密情報を引き出す技術であり、その成功率は純粋な技術的攻撃をはるかに上回ります。かつて FBI の「最も指名手配されたハッカー」だったケビン・ミトニックは、こう語っています。「ソーシャルエンジニアリングがあまりにうまくいくので、技術的な攻撃に頼る必要がほとんどなかった」。本記事では、電話一本やメール一通で企業が陥落した実際の事件を追いながら、なぜ人は騙されるのか、そしてどう身を守ればよいのかを解説します。
結論 - 技術より「人」が最大の脆弱性
先に結論を述べます。どれほど高度なファイアウォールや暗号化を導入しても、従業員が一本の電話で認証情報を教えてしまえば、すべてが無意味になります。ソーシャルエンジニアリング対策の核心は、「怪しいと感じたら立ち止まる」習慣と、パスつく.com のような強力なパスワード管理による多層防御です。以下の実話が、その理由を物語っています。
ケビン・ミトニック - 電話一本でソースコードを盗んだ男
1990 年代、ケビン・ミトニックは FBI の「最も指名手配されたハッカー」リストに載っていました。しかし彼の武器はプログラミングスキルではなく、電話と巧みな話術でした。ミトニックがモトローラのソースコードを入手した手口は、ソーシャルエンジニアリングの教科書的な事例として今も語り継がれています。
ミトニックはまず、モトローラの社内電話帳を入手しました。次に、社内の技術部門に電話をかけ、「新しく配属されたマネージャーだが、プロジェクトの引き継ぎでソースコードが必要だ」と名乗りました。相手が疑問を持つ前に、部署名、上司の名前、プロジェクト名を正確に挙げて信頼を獲得。最終的に、相手はソースコードを FTP サーバーにアップロードしてくれたのです。この一連のやり取りにかかった時間は、わずか数分でした。
ここで使われた心理テクニックは「権威への服従」です。人は権威ある立場の人物 (マネージャー、役員など) からの指示に従いやすい傾向があります。ミトニックは肩書きと内部情報を組み合わせることで、相手に「この人は本物だ」と思わせました。もう一つは「互恵性の原理」。ミトニックは電話の中で「先日のシステム障害の件、あなたの対応は素晴らしかったと聞いています」と相手を褒め、好意を引き出してから本題に入る手法も多用しました。
Twitter 乗っ取り事件 (2020 年) - 17 歳が世界を騙した日
2020 年 7 月 15 日、バラク・オバマ、イーロン・マスク、ビル・ゲイツ、アップル公式アカウントなど、著名人や企業の Twitter アカウントが一斉に乗っ取られました。「ビットコインを送れば倍にして返す」という詐欺ツイートが投稿され、わずか数時間で約 12 万ドル相当のビットコインが集まりました。
驚くべきことに、この攻撃の首謀者はフロリダ州に住む 17 歳の少年でした。彼は高度なハッキングツールを使ったわけではありません。Twitter の従業員に電話をかけ、IT 部門のスタッフを装って「セキュリティ監査のために内部ツールへのアクセスが必要だ」と伝えたのです。リモートワーク中の従業員は、社内の正規の手続きだと信じて認証情報を提供してしまいました。
この事件は、テクノロジーの最前線にいる企業でさえ、人間の脆弱性を突かれれば陥落するという現実を突きつけました。攻撃が成功した要因は「緊急性」(セキュリティ監査) と「権威」(IT 部門) の組み合わせです。もし各従業員がパスつく.com のようなツールで生成した固有の強力なパスワードを使い、二段階認証を有効にしていれば、口頭で認証情報を伝えてしまったとしても被害を大幅に軽減できたはずです。
CEO になりすまして 2,500 万ドル - 香港のビジネスメール詐欺
2024 年初頭、ある多国籍企業の香港オフィスが、ディープフェイク技術を悪用したビジネスメール詐欺 (BEC) の被害に遭いました。財務部門の従業員が「CFO」からの緊急送金指示メールを受信。従業員が疑問を呈すると、ビデオ会議が設定され、画面には CFO と数名の同僚が映し出されました。しかし全員がディープフェイクで生成された偽物だったのです。リアルな映像に説得された従業員は、合計約 2,500 万ドル (約 38 億円) の送金を 15 回にわたって実行してしまいました。
この事件は、従来の「声や顔で本人確認する」という常識がもはや通用しないことを示しています。ビデオ通話で相手の顔が見えても、それが本物とは限りません。金銭が絡む指示には、メールやビデオ通話とは別の経路 (直接対面、事前に取り決めた合言葉、社内の承認フローなど) で必ず確認を取る必要があります。
PLACEHOLDER_PSYCHOLOGY PLACEHOLDER_DEFENSE PLACEHOLDER_TRIVIA PLACEHOLDER_FAQ