町議会事務局の業務用パソコンでアダルトサイトを閲覧し、その最中に「パソコンがマルウェアに感染しています。〇〇に電話してください」との表示が出て、その番号に電話をかけた上に、その電話での指示に従ってパソコンを操作し、本当にマルウェアに感染、遠隔操作され、議会関係の資料等を流出させられるという事件が発覚しました。ほぼ１年前の日本年金機構の情報流出のように、自治体や学校、企業のパソコンがマルウェアに感染し、情報が流出することは珍しいことではありません。

今回話題になっているのは、マルウェアに感染して遠隔操作させられたことではなく、また業務用のパソコンでアダルトサイトを見ていたことでもありません。パソコンで表示された「マルウェアに感染しています」を信じて、しかもその詐欺に当たる表示に示された電話番号に電話をして、さらにその電話の相手の指示に従ってパソコンを操作し、マルウェアに感染させられ、結果的に遠隔操作されて情報流出したという点です。

新聞記事等を引用して、この事件を扱った掲示板やブログ等では、「こんな手に引っかかる人がいるなんて信じられない」、「こんな人に業務用のパソコンに触れさせるなんて」という厳しい批判が数多く聞かれます。しかし、通常の精神状態では考えられないことを行ってしまうのです。これは、相手の精神状態を追い詰めて判断力を鈍らせる詐欺の常道、そして狼狽させ、パニック状態にすることによって言うがままに操ろうとする振り込め詐欺と同様です。振り込め詐欺がなくならないのと同様、誰でも同じような手口に引っかかる可能性があるのです。

この情報漏えいを起こした張本人は５５歳の事務局長だそうです。彼は業務用のパソコンでアダルトサイトを見ている際に、「マルウェアに感染しています」というパソコンの表示を見て狼狽したと想像されます。アダルトサイトを見ているという多少なりとの罪悪感の中で、さらにマルウェアに感染してしまった責任を取らされるという失望で、さぞ混乱に陥ったことでしょう。その中で正常な判断力が失われ、藁をもすがる思いで、電話をかけてしまったと考えられます。対応した電話の先の相手は、手ぐすねを引いて待っていた詐欺師のプロであるわけですから、動揺して平常心を失っている人を騙して、思うように操るのは容易です。

サイバーテロ、そして企業や自治体の情報を盗もうとするサイバー犯罪等では、まずソーシャルエンジニアリングといって、ゴミ箱あさりや社内の会話、書類等を盗み見ることによって、パソコンにアクセスするためのヒントや、脆弱性を発見するための情報を得るという、極めてサイバーとは縁遠い作業を行うことによって周到に準備することが一般的です。パソコンやネットワーク自体が堅牢化している現在、それらに入り込むために、準備だけでなく、侵入するための直接的方法としても、最大かつ永遠の脆弱性である人間を利用する（操る）ことが増えていくのでしょう。