TwitterやFacebook、Instagram、LINE、LinkedInといったSNS(交流サイト)は企業で働く役員や従業員の生活に入り込み、切っても切れない関係になっている。友人や家族とのコミュニケーションだけでなく、メールに代わる業務連絡の手段として同僚や社外の取引先などとのやりとりにも利用されている。

 便利なSNSだが、従業員個人や企業を標的にしたネット販売に悪用されるケースも増えている。企業としてはリスクを抑えるためにSNSの利用を制限したいが、プライベート中心で利用されるSNSを制限するのは難しい。こうした状況が犯罪者にとって好都合だからだ。

 今回はSNSを悪用したネット犯罪の手口やその危険性について見ていこう。

本当に怖いハニートラップ

 SNSのメッセージ機能を使って、見知らぬ人からメッセージが届いたとする。いかにも怪しそうな相手からのメッセージならすぐに無視するが、とても魅惑的なプロフィル写真で、友達が多く楽しそうにコメントをやりとりしている様子を確認できたらあなたはどうするか。

 セキュリティー企業である⽶SecureWorks(セキュアワークス)は2017年、SNSのメッセージを利用したある標的型攻撃の分析リポートを公開した。リポートによれば、メッセージの送り主はロンドン在住の女性「ミア・アッシュ」。彼女からのメッセージを受け取ったのは、中東地域のエネルギー産業の役員男性だった。

SNSを使った標的型攻撃を解説するリポートにあるミア・アッシュの写真
SNSを使った標的型攻撃を解説するリポートにあるミア・アッシュの写真
画像出所:⽶SecureWorks

 彼女からのメッセージはLinkedInの機能を使って届いた。Facebookなど別のSNSにもアカウントを持ち、Facebookには500人以上の友達が登録され、彼女のページは複数のコメントでにぎわっていた。職業は写真家。メッセージは彼女が公開している写真に対する感想を問う内容だった。私なら「親切心」という表向きの理由もあるので、丁寧に答えてしまう気がする。

 彼女を利⽤して攻撃を実⾏したのは「コバルトジプシー」と呼ばれるハッカー集団だとみられる。“彼女”とは言ったが、実際はハッカー集団の男性かもしれない。リポートではプロフィル写真はネット上で公開されていた写真を使ったのではないかと指摘している。彼らは、男性が勤めるエネルギー産業の企業に標的型攻撃を仕掛けるために近づいたとされる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。