エリザベス・ホームズやファイア・フェスティバルが登場する以前、ナイジェリアの王子がいました。このデジタル詐欺師は数十年にわたり、スパムフィルターをすり抜け、あなたに一生に一度のチャンスをオファーしてきました。「愛しいあなたへ」と彼は書き、こう続けます。「私は気まぐれな王族の一人です。素晴らしい投資機会をあなたにお伝えします。」「殿下、ウエスタンユニオンの口座に何百万ドルもの未請求金があることをご存知ですか?私が引き出すお手伝いをします。必要なのは、少額の現金前払いか、電信送金に必要な銀行口座番号だけです。そうすれば、思いがけない富があなたのものになります。」
ほとんどの人は、これが詐欺であることを知っている。419詐欺としても知られるナイジェリア王子詐欺は、何世紀も前から続くスペイン囚人詐欺の亜種である。フランス革命後に発生した前金詐欺で、人々は手書きの手紙を送り、不当に投獄された(実在しない)貴族のために助けを求める。インターネットの黎明期と密接に関連しているが、ナイジェリア王子詐欺が初めて世界に広まったのは1980年代、西アフリカの詐欺師たちが世界中に詐欺の手紙を郵送し始めた時だった。今日では、これは本当の脅迫というよりはオチのようなものだが、ナイジェリア王子は今でも報酬を得ている。2018年には、この詐欺でアメリカ人だけで70万ドル以上が支払われた。
しかし、詐欺師たちは419詐欺の根底にある心理学をより革新的で危険な方法で利用している。「15年か20年前なら、(ナイジェリアの王子を)みんなで嘲笑っていたものです」と、アガリの最高アイデンティティ責任者であるアーメン・ナジャリアン氏は言う。「しかし、あのナイジェリアの王子は成長し、大学に進学し、様々なことを学び、新たな高収入の仕事を見つけました」。かつては単純で単発的な詐欺と思われたものが、今では1兆ドル規模の脅威へと発展しているのだ。
ソーシャルエンジニアリング
419 詐欺は、おそらくソーシャル エンジニアリングの最もよく知られた例です。ソーシャル エンジニアリングとは、詐欺師がターゲットを操作して個人情報や機密情報を共有させ、さらなる攻撃を可能にするために使用する一連の戦略です。
SecureWorksの攻撃グループ担当グローバルディレクター、ジェイコブ・ドーヴァル氏は、倫理的なハッカーチームを率いて、攻撃をシミュレーションし、クライアントのセキュリティプロトコルの弱点を特定しています。彼によると、ソーシャルエンジニアリング攻撃のほとんどは、フィッシングの一種、つまり一見信頼できる相手とメール、電話、あるいは直接対面でやり取りすることから始まります。しかし、その相手は実際にはあなたの個人情報を狙っているのです。
「今まさに、その好例がコロナウイルスです」とドーヴァル氏は言う。ハッカーは偽の公衆衛生警告を作成し、標的の企業の従業員に偽装ページを配布する可能性がある。「人事部のページと全く同じものが表示され、『警告を見るにはログインが必要です』と表示されるかもしれません。あるいは、『ここをクリック』というリンクだけかもしれません」とドーヴァル氏は言う。「一見何の異常にも見えないかもしれませんが、ファイルを開いた瞬間に悪意のある活動が開始される可能性があります。」
ナイジェリアの王子のように金銭を要求する代わりに、詐欺師たちは今や個人情報を狙っています。ナイジェリアの王子は数回の電信送金で満足することが多かったのに対し、パスワードや個人識別情報へのアクセスは、はるかに大規模な計画の第一歩に過ぎません。
現在、FBI は、企業の財務インフラにアクセスできる従業員をターゲットにして、詐欺師に資金を送金するよう騙すビジネス メール詐欺 (BEC) を懸念しています。
こうした手口の一つに「CEO詐欺」と呼ばれるものがあります。これは、詐欺師が企業のCEOになりすまし、請求書の即時送金を要求します。部下が指示に従えば、知らず知らずのうちに資金を詐欺師に送金してしまうことになります。(中にはさらに手口を巧妙に操る者もいます。2015年から2017年にかけて、フランスのジャン=イヴ・ルドリアン国防大臣になりすました、手の込んだスカイプ通話で9,000万ドルを詐取した詐欺師もいます。)
ベンダーメール詐欺(VEC)と呼ばれる同様の戦略も増加傾向にあり、Agariはこれが2020年に最も多く発生する攻撃の種類になると予測しています。典型的なシナリオでは、詐欺師は銀行口座情報を除いて実際のベンダーの請求書と全く同じに見える請求書を作成します。企業が支払いを行うと、その請求書は再び詐欺師の口座に振り込まれます。
かつては、こうした詐欺は数の勝負でした。詐欺師がターゲットとする人数が多ければ多いほど、被害者を見つける可能性が高まりました。これは今でも変わりませんが、今日の攻撃はより巧妙になっています。「ナイジェリアの王子を狙った詐欺は、実質的にスパムでした」とナジャリアン氏は言います。「あれは特別に仕組まれたものではありませんでした」。しかし今では、詐欺は極めて個人化されているため、どんなに注意深く、あるいは疑い深い従業員でさえも危険にさらされています。「たった一つの小さなミスで済むのです」とドーヴァル氏は言います。
「サイバーセキュリティ」という言葉を聞くと、多くの映画で描かれているように、最先端の機械を装備した国際的なハッカー集団を思い浮かべるかもしれません。しかし、詐欺が成功するためにハイテクである必要はありません。ソーシャルエンジニアリングは主に人間の弱点を狙うからです。「セキュリティに関して言えば、人間こそが最も脆弱な部分です」とドーヴァル氏は言います。人によってはリスクが高い場合もありますが(連邦取引委員会によると、ミレニアル世代は年配のアメリカ人よりも詐欺率が高いと報告されています)、CEO詐欺や誘惑、恋愛詐欺といった権力闘争の餌食になる可能性は誰にでもあります。誰かを騙してドアを開けさせることができるのに、なぜ侵入する必要があるのでしょうか?
標的が誰であろうと、ソーシャルエンジニアリングが成功すると深刻な影響を及ぼしかねません。デジタル技術のトレンドを予測するジュニパー・リサーチは、サイバー犯罪による事業損失が2019年に世界で3兆ドルに達したと推定しています。この影響から逃れられる人は誰もいません。ムーディーズは最近、大規模なデータ漏洩を理由にエキファックスの格付けを引き下げました。数億人に影響を与えたサイバーセキュリティ問題で企業の信用格付けが引き下げられたのはこれが初めてです。また、ロサンゼルス・サイバー課のFBI捜査官マイケル・ソーン氏がWired誌に語ったように、「中小企業が20万ドルや50万ドルを騙し取られたら、もう終わりです。事業は成り立たないのです」。
反撃
ソーシャルエンジニアリング詐欺を実行するのに高度な技術が必要ないのと同様に、それに対抗するのに突飛な策略は必要ありません。独立系サイバーセキュリティ研究者兼アドバイザーのルカス・オレニク氏は、パスワードに加えて1つ以上のレベルの認証を必要とする多要素認証は、詐欺対策の第一歩として有効だと述べています。また、アカウントごとに異なるパスワードを設定することも重要です。そうすれば、1つのパスワードが侵害されても、他のパスワードがドミノ倒しのように次々と流出することはありません。ただし、パスワードを付箋に書き留めておくのはやめましょう。デジタルパスワードマネージャーを使えば、パスワード管理と同じくらい簡単で、はるかに安全です。
それでも、多くの企業は不正検知プロセスを強化するために人工知能を活用し、人間による介入を完全に排除しようとしています。Agariによると、フィッシング対策を自動化した組織は、従業員によるものよりも44倍多くの悪意のあるメッセージを検知しています。これは重要な点です。Agariの報告によると、従業員から報告されたインシデントの60%は誤検知であるからです。AIのメリットは個人のメールにも現れているでしょう。Gmailの機械学習強化プラットフォームは、スパムの99.9%をブロックすると報告されています。
オレニク氏は、効果のない唯一の予防策は「恥をかかせる」ことだと指摘する。ソーシャルエンジニアリングの罠に陥るのは誰にでもある。だから、そうした従業員を処罰したり、解雇したり、訴訟を起こしたりするのは不公平なだけでなく、根本的な問題の解決にもならない。経営陣は毅然とした態度をとったと感じているかもしれないが、彼らの脆弱性はこれまでと変わらない。
ナイジェリアの王子はかつてほど成功していないかもしれないが、常に進化し続ける脅威の完璧なメタファーであり続けている。詐欺は「通常、起こるかどうかではなく、いつ起こるかの問題だ」とドルヴァル氏は言う。王族が関与しているかどうかは関係ない。
