気づかないうちに情報提供
「誘導質問術」の事例
ソーシャルエンジニアリングに限らず、さまざまな場面でよく使われる手法であるが、「誘導質問術」という言葉を知っている人はあまり多くない。米国連邦捜査局(FBI)は、誘導質問術を以下のように概説している[1]。
「誘導質問術(Elicitation Techniques)は、情報を用心深く収集するための技術で、特定の目的、即ち、容易に入手できない情報を悟られずに収集する目的で行われる。対面、電話、書面、インターネットなどで行われ、高度な質問者にかかると、通常の社交的会話や専門的会話のように感じられ、被害者は、自分が誘導質問の対象であることや、重要情報の提供に気づかない」
ここで、誘導質問術が使われた事例をいくつか紹介しよう。
(1)一件の電話が引き起こした殺人事件
2012年、神奈川県逗子市で起きた「ストーカー殺人事件」では、委託調査会社の経営者が、電話で入手した被害女性の住所を犯人に提供した。被害女性の夫を装い、市役所に「家内の税金の支払い請求の住所が間違っていないか?」などと電話し、市職員にコンピュータを操作させ、被害者の正しい住所を得た。実際のやりとりは明らかでないが、「誘導質問術」が悪用されたと考えている[2]。
(2)プロフェッショナル(ハッカー)の利用
前回、「ヒューマンエラー」を解説する中でも述べたが、1994年11月に米国ワシントンDCで開催されたセキュリティの国際会議CSI(Computer Security Institute)の夜間の特別セッション「Meet the Enemy(ハッカーと語ろう)」で、誘導質問術が使われた。
セッションの途中、一人のハッカーは割り込んできた電話会社のオペレータとの自然な会話で、オペレータのユーザIDとパスワードを聞き出した。 ハッカーは非常にリラックスして会話をしており、オペレータを退出させた。その後、約80人の参加者(セキュリティ関係者)は、ハッカーの巧みな会話術(誘導質問術)に盛大な拍手をした。
(3)お笑い芸人の利用
4、5年前に、関西系のお笑い芸人がMC(司会)を務めるTV番組があり、年齢が異なる二人の女優がゲスト出演した。年下の女優は年齢を聞かれ、「21歳」と答えた一方で、年上の女優は年齢を言わなかった。
そこで、MCが「二人の関係は?」と尋ねたところ、年下の女優が「この方は、姉と高校で同級生でした」と回答。MCがすかさず、年下の女優に「あなたと姉はいくつ違うんだ?」と聞くと、年下の女優は「3つです!」と回答していた。
このような会話は、「誘導質問術」とは一般的には呼ばれないものの、誘導質問術の一種としてかなり日常的に使われている。
