悪用される誘導質問術
IT技術だけでソーシャルエンジニアリングは防げない
誘導質問術は、上述のような人間の特性を知っているだけで直ちに悪用できるようなものではない。対象組織の体制や業務上の専門用語、業務処理の常識などの事前知識を得て、さらに多くの訓練を経てはじめて使用できるものである。しかしながら、誘導質問術が、さまざまなところで悪用されている。
近年、大きな社会問題である「振り込め詐欺」も、被害者をだますための誘導質問術を使っている。犯人は複数の対象者に電話を繰り返し、“実地で”その手法を習得している。最近の振り込め詐欺は高度化しており、詳細なシナリオを事前に用意し、登場人物になりすまし、被害者の名前や人間関係などの詳細情報を事前に得て、犯行を行っている[4]。
前述の逗子市での殺人事件の経緯が明らかになった後、「電話応対に問題があった」との指摘が一部マスコミでなされたが、電話の中でこうした誘導質問術が巧みに用いられ、職員自身も気付かずに情報漏洩を起こした可能性もある。この問題を職員個人の問題で終わらせるのでなく、組織での対応・対策が必要なのは明らかだ。
国内の情報セキュリティは、「サイバー攻撃」のようなITを活用した技術的問題を連想するが、決してそればかりではない。今回紹介したような、単純だが、非常に巧妙な方法で情報盗取が行われているのが実態なのである。
(情報セキュリティ大学院大学名誉教授 内田勝也)
【参考文献】
[1] FBI、Elicitation Techniques
[2] 内田勝也、『誘導質問術からみた個人情報漏えいの考察』、情報処理学会論文誌、2015年12月
[3] ロバート・チャルディーニ、『影響力の武器』、誠信書房
[4] 鈴木大介、『「振り込め詐欺」10年史』、pp.54-58、宝島社