毎日のようにニュースで報じられる「振り込め詐欺」の被害。これまで多くの人がなぜゆえだまされ、大金を支払ってしまうのでしょうか。こうした犯罪でよく使われている手法が「ソーシャルエンジニアリング」です。今回は、安全、安心なSociety 5.0時代を迎えるために知っておきたいキーワード「ソーシャルエンジニアリング」について解説します。
大学生活で「振り込め詐欺」のリスクが上昇
子どもや警察官、銀行員などを名乗り、「大金を落としてしまった」「恋人を妊娠させた」「交通事故で人にケガをさせてしまった」などとだまし、金銭をだまし取る振り込め詐欺があとを絶ちません。
といっても、高校生の場合は「振り込み詐欺」と接点がある人は少ないでしょう。しかし、大学へ進学した後はどうでしょうか。
実家を離れて一人暮らしを始める人も少なくありません。まさに「振り込め詐欺」にとっておあつらえむきなシチュエーションです。あなたを名乗る電話が両親など家族のもとにかかってくるかもしれません。遠くで暮らす祖父母なども標的となる可能性が高まります。
「犯罪」というと何やら遠い世界の話のようにも思えますが、大学へ進学したり、社会へ出ると注意しなければならない身近な存在なのです。
「振り込め詐欺」の年間被害額は……
ところで、振り込め詐欺のニュースを耳にしたとき、「なぜ、そのような単純な手口に大金を支払ってしまうのだろう」と疑問に感じたことはないでしょうか。
「電話で息子になりすまして送金を依頼する」「警察や銀行などを装って通帳をだまし取る」など、ちょっと話を聞いた限りは「いかにも怪しいし、自分ならだまされることはない」と思うかもしれません。
しかし、実際は驚くほど多くの人が被害に遭っているのです。家族や警察官を名乗る「オレオレ詐欺」、支払金があるなどとだます「預貯金詐欺」、銀行員などを名乗ってキャッシュカードをだまし取る「キャッシュカード詐欺盗」など、これらをあわせると警察庁の統計では年間被害額は150億円以上にのぼり、毎日4000万円の被害が発生しているのです。
<還付金等詐欺(振り込め詐欺)の手口と対策>
ところで、被害者が振り込め詐欺の手口を知らなかったのかといえば、そんなことはありません。むしろ、だまされた多くの人は振り込め詐欺を知っていたにもかかわらず、「自分はだまされることはない」と考えていたのです。
決してだまされないと自信を持っていた人が、なぜ見ず知らずの人に大金を手渡してしまうのか。そこには「ソーシャルエンジニアリング」というテクニックが存在しています。
人を操る技術「ソーシャルエンジニアリング」
「ソーシャル」とは、「ソーシャルネットワークサービス(SNS)」などで聞いたことがあると思いますが、「社会の」「社会的な」という意味。一方「エンジニアリング」とは「工学」「技術」を指します。
直訳すると「社会的な技術」となりますが、わかりやすくいえば、「人々の社会的な行動の性質を逆手にとり、行動を誘発するテクニック」のことを指します。
本来、「ソーシャルエンジニアリング」という言葉そのものにネガティブな意味はありません。他人の行動を誘発するという点では「恋愛」や「政治」などあらゆる生活に通じるところがあります。
しかし、振り込め詐欺をはじめとする特殊詐欺やサイバー犯罪などに悪用されることが多く、セキュリティーなどの文脈で語られる場合がほとんどとなっています。
なぜ、「偽息子」「偽孫」を信じてしまうのか
「ソーシャルエンジニアリング」のひとつに「振り込め詐欺」などでも見られる「なりすまし」があります。それにしても、赤の他人が名乗る子どもを両親や祖父母が、なぜいとも簡単に信じてしまうのでしょうか。
理由のひとつに、自分にとって都合の良いように物事を捉えてしまう「認知バイアス」と呼ばれる心理的な効果があります。
他人であれば声が異なるはずですし、はたから見れば「風邪をひいた」などもっともらしいうそと思えます。しかし、当事者としては、久しぶりの電話をうれしく思い、自分の都合の良いようにねじ曲げて解釈して信じてしまうのです。
また自分であれば、子どもの声を聞き分けることができる、という自身の能力を過信する「自信過剰バイアス」も作用します。
冷静な状態で話を聞けば、だれでも「おかしい」と感じるシチュエーションであっても、「自分はだまされない」という自信が大きければ大きいほど、皮肉にも当事者として巻き込まれたとき、抜け出せなくなってしまうのです。
さらに犯罪者は、人に相談したり、すぐに解決できないと社会的に大きなダメージを受けるかのように信じ込ませ、正常に判断する能力を奪ってしまいます。
高校生も「ソーシャルエンジニアリング」に狙われている
「ソーシャルエンジニアリング」を用いた犯罪行為は、なにも「振り込め詐欺」に限ったものではありません。代表的なものに「フィッシング詐欺」もあります。
フィッシング詐欺とは、企業などになりすましたメールを送りつけ、正規サイトとそっくりな「偽サイト」に誘導して、IDやパスワード、個人情報などをだまし取るサイバー犯罪の一種です。
高校生でも利用する携帯電話キャリアはもちろん、宅配便、携帯電話会社、Apple、Google Playなどのスマホ関連サービス、メールやTwitterをはじめとするSNS、銀行など幅広い企業やサービスになりすまします。
高校生が利用する機会がほとんどないクレジットカード会社をはじめ、自分が使ったことのない会社やサービスからメールが届いて「サービスを停止します」と言われても「おかしいな」とすぐに気がつくことはできるでしょう。
しかし、日ごろ利用しているサービスから本物そっくりのデザインで「第三者があなたのパスワードを使ってアクセスしました。セキュリティーのために、すぐ確認してください。確認しないとサービスを停止します」などと連絡が来たならばどうでしょうか。
「サービスを停止されると困る」と慌てて本文中にあるURLをクリックし、IDやパスワードを入力してしまえば、アウト。いとも簡単に情報がだまし取られてしまうのです。
<あなたも体験してるかも「フィッシング詐欺に注意」>
iPhoneをプレゼント? オイシイ話は特に注意!
ソーシャルエンジニアリングは、人の「欲望」にも付け込みます。例えば、「最新型のiPhoneをプレゼント!」などとウェブサイトへ誘導し、応募ページに見せかけて個人情報を入力させる、といったケースは常とう手段となっています。
またパソコンやスマートフォンに感染し、さまざまな悪事を働くマルウェア(ウイルス)なども狙っています。
高価なソフトが無料で手に入る、などと魅力的な話に惹かれ、いざソフトウエアをダウンロードしてインストールしてみたら、海賊版であり、中身はパソコンを乗っ取るマルウェアだった、ということもあるのです。
普段気にしない「生活の死角」を狙っている
人々の性質を逆手にとる「ソーシャルエンジニアリング」ですが、「社会生活における死角」を狙っています。
例えば、「ショルダーハッキング」。パソコンやスマートフォンを使っている人の背後から画面をのぞき込み、「ID」や「パスワード」などを盗み見る行為です。せっかくパソコンやスマホをパスワードで守っていても、他人に知られてしまえば意味がありません。
また「スカベンジング(トラッシング)」というテクニックもあります。これは「ゴミ箱あさり」のこと。廃棄されたパソコンのハードディスクや、書類などから情報を見つけ出す行為です。
近年はゴミ箱をあさらなくとも、SNSなどの投稿などより情報を取得されている可能性もあります。また相手に知り合いのふりをして電話をかけ、聞き出すといった単純な手法なども用いられています。
人の心理を狙った犯罪からいかに社会を守るか
詐欺は古くから存在しており、すぐに無くなることはないでしょう。ソーシャルエンジニアリングの手口を聞いて、「意外にアナログな方法だな」を思うかもしれません。しかしサイバー社会が到来するからといって、犯罪者が最新のIT技術ばかりを駆使して犯罪を実行するとは限らないのです。むしろアナログな部分にこそ、見落としがちな落とし穴があります。
「ソーシャルエンジニアリング」は大学で学べる?
「ソーシャルエンジニアリング」は幅広い概念でもあり、大学に専門に掲げる学部や学科は登場していないようです。「サイバー犯罪」で悪用されるという側面を見ると、「情報科学」をはじめ、セキュリティー分野を学ぶ際にカリキュラムのひとつにソーシャルエンジニアリングを学ぶこともあります。一方、人間がだまされてしまうロジックなど心理的な働きについて学びたければ、「心理学」や「経済行動学」などが当てはまるでしょう。
この瞬間も特殊詐欺やサイバー犯罪などが人々を狙っており、そこには「人の弱点」を狙うソーシャルエンジニアリングが行われています。ソーシャルエンジニアリングの知識は、サイバー社会で安心して暮らしていくために欠かせないノウハウ、安全なSociety 5.0を実現するために必須のスキルといえるでしょう。
