スタッフブログ

あなたは、詐欺師がどんなことを考えて人をだますか、知っていますか?

MR.ROBOT_
(写真:MR.Robot facebookページ
クリスチャン・スレータ―さんです。

MR.Robot、見ましたか?
アマゾンプライム会員の方は、全て無料で見れてしまいます。
現在、シーズン1が全編見れます、無料で。

間もなくシーズン2が始まる!という告知がFBページに上がりました。

ハッカードラマです。
主人公のハッカーはネットワークエンジニアが本業ですが、夜は個人情報を盗み、Facebookの個人ページやらクレジットカードなどの信用情報などを見まくる。
その技術を買われでかいハッキングに誘われていきます。
単なるハッキング周りの話だけでなく、心理描写や精神状態の描写などが色濃くあります。
シーズン2、楽しみにしてます。もちろんタダで見れますよね、アマゾンさん。。。

ところで、ハッカーって、PCやITネットワークに特化した詐欺師でもあります(ブラックハッカー限定)。

ハッカーの世界では、その技術や方法の美しさや洗練度が仲間内の評価となります。
その詐欺技術がスマートか美しいかを競い合っている部分もありますね。。

この、人をだます技術のことを「ソーシャル・エンジニアリング」と言います。

「ソーシャル・エンジニアリング」とは何か?

MR.Robotでは「ソーシャル・エンジニアリング」が主要なポイントで出てきます。
先日起こった「JTBの顧客情報流出事件」でもソーシャルエンジニアリングの手法が大きな要因であったことが発表されました。

では、「ソーシャル・エンジニアリング」とはなんでしょうか?

『ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。』(Wikipedia)

つまり、人間の行動や心理、行動経済学を逆手に取ったものです。
詐欺師は、だまそうとする相手の行動や心理をよくよく分析して見抜いて、それで仕掛けてくるわけですね。何枚も詐欺師のほうが上手です、残念ながら。

いわゆる「振り込め詐欺」の行動、犯罪心理と同じです。

JTBさんのケースでは顧客のふりをしてメールを送信し、通常の業務メールだと思い込ませメールを開かせる、そのメールに悪質なプログラムが仕組んであった、ということが発表されています。
担当者の「お客様からも連絡もあったし変なメールではない」という心理に付け込んだ手法で、ソーシャルエンジニアリングです。

MR.Robotで見られる「ソーシャル・エンジニアリング」

●個人のパスワードを勝手に作る
実際にパスワードそのものを盗まなくてもパスワードを知ることができます。
生年月日や家族の名前、ペットの名前や恋人の名前や誕生日など、そういった情報からパスワードとおぼしきデータを自動生成し、どれが当てはまるかを見つけます。
これは「パスワードは覚えやすいもの、つまり自分や近い存在の名前や誕生日にしていることが多い」という行動心理に根付いており、このことがソーシャルエンジニアリングです。

●「ゲームだよ!プレゼントだよ!」などと書いたUSBメモリをわざとバラまき、システムに侵入する。
侵入したいシステムが入っている施設の付近でメモリをばらまきます。
警備員がそれを拾い、PCに指します。
「これはダメなヤツだ!」と気づいた時にはすでにマルウェアなどの悪質なプログラムが同時に侵入を成功している、ということが起きています。
これは「面白いものは拾いたくなる」というソーシャルエンジニアリング。

●売り出し中のアーティストのフリをして無料CDを配り、PCに侵入。
CDを再生させるとともに悪質なプログラムを作動させ、個人情報などを盗み取る。

●家族などの個人情報からその人の弱みに付け込み、サーバー室に入り込む。
侵入したいサーバー室の案内をしている管理者に対し、暴言を浴びせるなどの相手の弱みに付け込む心理的攻撃をして担当者交代をさせ、侵入する。

●警備員を色気で釣り、その間にWifiネットワークに侵入。
Bluetoothで警備の端末に侵入し、警備員に女性が近づき気を引いている間にその端末を近くの端末をBluetooth接続で操作し、本体のシステムにWifi侵入する。

●ハッカー同士でもソーシャルエンジアリングで相手を試す。
ハッカーは信用しあわないため、相手の負の心理に付け込み、離脱をさせないように導く。

●Wikipediaを作為的に更新し、誤った情報を流布させる。
WikipediaやWEBの情報は妄信しがちだという弱みを利用した情報操作。

こんな感じで次々と出てきます。。
見事に相手の弱みに付け込んで自分の目的を果たそうとします。
ハッキングとは心理戦でもあるのだなあと痛感させられます。

歴代のハッカー映画おさらい

どの映画にも「ここがソーシャルエンジニアリングだな」というのが出てきます。
それを頭に思いながら見るのもひとつの鑑賞です。

●マトリックス

やはりこれからかな。
これはキアヌ・リーブスがハッカー役ですが、ハッキングされるのかな、むしろ。

●ソードフィッシュ

ヒュー・ジャックマンが凄腕ハッカーとして犯罪組織に買われます。
ハッキングのところよりも、どちらかというとTVRタスカンやハマー、ジャガーなどの高級車がどんどんクラッシュしてゆく様が面白いです。。

●ブラックハット


これもアマゾンプライム無料。
カード詐欺なら朝飯前の凄腕ハッカーが犯罪捜査に協力する話です。
結構、ソーシャルエンジニアリングの山盛り映画です。

●007 スカイフォール


これもアマゾンプライム。
ハッカーがメインの話ではないですが、ジェームズ・ボンドの敵となるかつての同僚スパイがハッキングも駆使し巨大な金融犯罪などを仕掛ける、という話。
スパイってそんなにいろいろできるのか。。。
アデルの歌う主題歌がなんとも素敵です。

●ソーシャルネットワーク

ご存知、facebookの成り立ちストーリーですね。
“I AM CEO, Bitch‼”という言葉をマーク・ザッカーバーグがジャスティン・ティンバーレイク演じるショーン・パーカーに教わるわけですが、その名刺がこれ↓
Bill Gates to Mark Zurkerberg s  I m CEO  Bitch   Early business cards of the world s most famous people   Daily Mail Online
(出典:http://www.dailymail.co.uk/news/article-2267295/Bill-Gates-Mark-Zurkerbergs-Im-CEO-Bitch-Early-business-cards-worlds-famous-people.html)
ハッキング部分は、学生データベースに入り込むところだと思いますが、ソーシャルエンジニアリング的には、学生間で広める手法かなあ。。

ちなみに、ザッカーバーグ氏のパスワードも盗まれるなんてことも起こります。

だます側のことをよく知り、だまされないようにしましょう。