人気番組のスタッフに成りすまして潜入し、極秘情報を奪う…日本の企業を狙う悪いヤツらのヤバすぎる侵入手口
そんなわかりやすい手口に騙されるなんて」―詐欺被害を耳にして、自分は無縁と思う人も多いだろう。しかし、最新のテクノロジーを駆使すれば、あなたの個人情報を盗むことなど朝飯前なのだ。 【写真】こんな北朝鮮、見たことない…!写真家が29年間撮り続けた「凄すぎる光景」 前編記事『サイバー攻撃だけじゃない…!日本企業の極秘情報が次々盗まれる「恐るべき手口」が出現していた』より続く。
「番組の取材」を偽装
「最新技術に関する情報や顧客情報を奪おうとする企業スパイを含む攻撃者は、極めてシンプルかつ巧妙な手段で企業を欺き、侵入を試みます」 と指摘するのは、産業スパイの情報分析や企業の技術情報流出対策を行う「日本カウンターインテリジェンス協会」代表の稲村悠氏だ。 稲村氏らは物理侵入対策の専門家である大田大輔氏が代表のBarrierCrack社などと共同で、企業に対する物理的侵入や、心理的側面に強く働きかける手法を組み合わせたサイバー攻撃などによる情報窃取を防ぐためのコンサルティングを行っている。 「たとえばA社という企業の情報を窃取したいBという攻撃グループがいると想定しましょう。機密情報を狙ったり、情報を窃取して暗号化し、身代金を要求する犯罪グループなどが関係していると考えてください。そのBがA社に侵入するための手段について、実際に実行されたケースを交えながら紹介します」(以下、発言は稲村氏)
油断が被害を生む
稲村氏がまず挙げるのが、「経済番組の取材」と偽ってターゲットに接触する方法だ。 A社に接触するため、Bはまず架空の経済番組を制作している会社の社員になりすまし、A社の広報か製品担当者に「番組で御社のサービスを紹介したい。ついては一度、御社で対面の打ち合わせをさせてほしい」と連絡をする。 A社の人間も最初は警戒心を持つが、Bは事前に見栄えのする偽の自社ホームページを作っており、そこには制作実績としていくつもの事例が載っている。A社にもメディアに商品を取り上げてもらいたい気持ちはあるので、ホームページを見て「まともな会社のようだし、打ち合わせぐらいなら大丈夫だろう」と安心して、Bとの対面打ち合わせに応じる。 打ち合わせ当日。担当者らに迎えられてすんなりとA社の中に入れたBたち「犯行グループ」は、打ち合わせが始まると、事前に用意していた偽の名刺を渡し、資料を見せながら番組概要を説明する。その途中に「ちょっと仕事の電話がかかってきまして……」などと言い、グループの一人を自然に抜けさせる。 その後は、抜け出した人物が会社のフロアを歩き回り、人気のない場所から重要資料を窃取したり、社内の有線LANに遠隔操作可能な小型PCを接続して、業務ネットワークへの侵入を試みる。 あるいは誰かのデスク上のPCにマルウェアを仕込んだUSBメモリを差し込みウイルス感染させ、遠隔操作ができるようにしたり、前編でも紹介したような偽装Wi-Fiを飛ばすための装置を社内のどこかに設置することもできる。 「一度社内に侵入してしまいさえすれば、会社の中の重要機密を抜き出す方法はいくつもあります。社用PCを一台盗み出して、そのPC端末内に機密情報があれば大成功ですし、そのPCから会社のネットワーク内に侵入することができる場合もあります。