今年1月、コインチェック社(以下CC社)から580億円相当の仮想通貨(NEM)が流出した事件で、その前例なき手口が明らかになりました。
犯人はまず自分を信用させるために、半年余り前からCC社の社員と偽名を使って交流を重ね、十分に時間をかけた上でウィルスを仕込んだメールを送りつけたのです。
CC社の社員は既に信用ある相手からということで、疑うことなくメールを開きその後感染、不正アクセスの足がかりとなってしまったということです。
ではなぜ犯人はCC社のシステムに関わる社員と交流ができたのでしょうか。
犯人は準備段階としてSNS等を通じてシステムの管理権限を持つCC社のエンジニアを数人割り出しました。次にそれぞれに偽名でコンタクトを試み、交流を重ねていったというスパイ映画さながらの手口だったのです。
特定の人に対して攻撃することを「標準型攻撃」、その準備段階で行う情報収集の為に人の心の隙を突く行為を「ソーシャルエンジニアリング攻撃」といいます。
ソーシャルエンジニアリング攻撃には、顧客を装って電話をかけて情報を聞いたり、オフィスのゴミを集めてパズルのように組み合わせたり、肩越しに覗き見るといった、「ターゲットと長いコンタクトを取らない」手口はよく知られていますが、今回のように時間をかけて相手を信用させ巨額の金を盗み出すというサイバー攻撃は国内では前例がないということで、今後東京オリンピックに向けてより危険性が高くなる恐れがあります。
インターネットやSNSの普及により、顔の見えない相手との交流が一般化した昨今では、このような攻撃を防ぐのは非常に困難かもしれません。
最悪の場合も被害を最小限に抑えるために、経営層の方は一度会社の情報資産をまとめ、リスク分析を行った上でそれぞれの情報をどう管理するか会社全体として見直すことが大切です。