英国で入院中のケイト妃の様子を、オーストラリアのラジオ局がチャールズ皇太子を名乗って電話をかけ、聞き出した事件。世間をちょっとあきれさせただけで終わるかのように思えましたが、最初に電話を受けた看護師が自殺する(警察ではそう見ているとの報道)という悲惨な結末を迎えてしまいました。メディアの誤った行動が、罪のない人を追い込んでしまう典型的な事例と言えるでしょう。
BBCニュース記事
しかし、この事件で私が思い出したのは、昔のDEFCONでの一場面。いわゆるソーシャルエンジニアリングのデモンストレーションでした。関係者を名乗って電話をかけ、情報を聞き出す手口は、古くから存在します。いわゆるソーシャルエンジニアリングの基礎的な手法です。今回の事件は、はからずもその有効性を立証してしまいました。
今回の電話のポイントは、たぶんラジオ局のDJがケイト妃の義理の父親にあたるチャールズ皇太子やエリザベス女王の声色を使っていたことです。英国では王室の、しかもトップである女王やナンバー2の皇太子は国民の敬意の対象であり、大きな権威でもあります。こうした権威からの要求は簡単には拒否できません。少しくらいおかしいと感じたとしても、それを吹き飛ばすくらいの威力があるわけです。
これを会社に置き換えてみれば、たとえば社長から電話があったようなものです。上司の外出中に社長から上司宛に電話があり、なにかを頼まれたら、簡単には断れないでしょう。特にその用事が「緊急」のものであった場合は、なおさらです。中小企業ならばともかく、そこそこの規模の企業では、おかしいと感じても良さそうなものですが、案外、そうはなりません。それは、相手が大きな「権威」だからです。また、多くの場合、「緊急」という注釈がつくため、考える余裕もなくされてしまいます。
昔から企業はこうしたリスクにさらされてきました。IT時代の今となっても、こうした手法はきわめて有効です。むしろ、たとえばITシステムのセキュリティを突破する糸口を得るために積極的に使われています。振り込め詐欺などと同様に、企業や組織においても、こうしたソーシャルエンジニアリングの対策を考えておかなければいけません。
たとえば、会社のルールとして、こうした上司の代理行為を制限する方法があります。教育によって、たとえ相手が社長や役員であっても、面と向かって直接指示された場合以外は例外なしとする方法です。もちろん手口も様々ですから、いろいろなケースを考慮する必要があるのですが、電話やメールによる指示が有効な範囲をある程度制限することには意味があるでしょう。上司からの指示であったとしても、面と向かっての直接の指示以外は送らない、もしくはあらかじめ決められた方法で暗号化しておくといったルール作りもありうるでしょう。
以前にも書いたのですが、サイバー犯罪といえども、その動機や目的は従来からの犯罪となんら変わりません。手段がITであるだけです。むしろ、ITのみを手段とするほうが特殊で、多くの場合、伝統的な犯罪手法とITが組み合わされます。そういう意味で、サイバー犯罪も、従来からの犯罪も対策は同じ大きなフレームワークの中で行っていく必要があるでしょうね。
