米国マカフィーは25日(米国時間)、迷惑メールで広がる「ソーシャルエンジニアリング」を利用した詐欺でサイバー犯罪者が用いる心理戦などを詳しく検証した研究結果を発表した。 この研究結果は「マインドゲーム」と題された報告書で、カリフォルニア大学サンタバーバラ校の心理学教授であるジェームズ・ブラスコビッチ博士を中心に作成されたもの。一般的な詐欺メールの分析と、サイバー犯罪者がどのように不安や欲望を利用して、個人情報や極秘の財務情報を巧みに盗み出すかについて、驚愕の分析が紹介されているという。 この報告書の中でブラスコビッチ博士は、「詐欺メールは、電子メールが友人や同僚からのものと錯覚させたり、信頼できる機関からのまことしやかな警告を装ったりすることで、受信者に親近感、正当性を与え、効果を最大限に高めます」と指摘。 また心理学的には、「受信者が電子メールを開いた後、犯罪者は『接近』と『回避』という2つの基本的な動機付けプロセスをときには組み合わせて用いて、受信者に危険なリンクをクリックさせたり、個人情報を提供させたり、危険なファイルをダウンロードさせたりします」と述べている。 これらにより、「サイバー犯罪者は米国民のわずか0.5%から20ドルをだまし取るだけで、1日1,500万ドル、年間55億ドル近くを稼ぐことができ、腕のいい詐欺師にとって非常に魅力的です」と締めくくっている。 具体的な例では、詐欺師が成功を収める上で重要な鍵となるのは「親近感」だとした。こういったものの例として、「全国的に有名な銀行」「クレジットカード会社」「オンラインオークションサイト」などを装ったフィッシング詐欺が挙げられており、同社調べによると2007年上半期にはフィッシングWebサイトの数が784%増加したと発表している。 また、人気のあるサイトが被害にあうケースも増えており、例として昨年末に発見された「MySpace」をターゲットにしたフィッシングを挙げた。この例では正規のリンクを改変するワームが使われ、罠にかかったユーザを個人情報を入手するために作成されたフィッシングサイトに誘導するということが行われたという。 これらについて同社は、「フィッシングメールの警戒すべき増加とともに、最高の訓練を受けていてもだまされるような、より高度なメッセージも確認されています。初期のフィッシングメールには誤字、おかしな言い回し、小さな画像の誤りがある場合が多かったのですが、最近の詐欺メールでは、より精巧なグラフィックや信頼できる機関が用いる言い回しに近いコピーが使われており、初期のメールよりも本物らしく見えます」と注意を促している。 このほか、親近感から正規のものと勘違いさせる戦術以外として、「不安をあおる戦術」「特典を重視する人向けの戦術」「感情を刺激する戦術」が例として挙げられている。 まず不安をあおる戦術では、「セキュリティに関する緊急通知」「口座記録の期限切れ」などといった件名を例としてピックアップ。また、「必ずご記入の上、送信してください」「この機会をお見逃しなく」といったものについては、「不安をあおる戦術ほど露骨ではありませんが、指示されたように行動しなければ損をすると思わせます」と分析している。 次に特典を重視する人や人の一歩先を行きたいと考える人をターゲットとするような、消費者の欲望につけ込んだ詐欺について言及。これらには、宝くじに当選したと思わせる「当選しました」、特別価格で購入できると思わせる「90%割引」、ローンなど金銭的な悩みのある人をターゲットにした「融資が承認されました」といった件名が付けられているとした。 最後に感情を刺激する戦術においては、「今週もまた一人?」といった件名が傷つきやすい感情につけ込むなど、「恋愛」や「失恋」といった感情を刺激するメッセージを用いるのが一般的だとした。さらに、「注意!複数のクレジットカードのデータベースが消滅」といった権威のある組織からのメッセージを装ったり、緊急性や義務感をあおったりするメールもあるとしている。
“ネットいじめ”を可視化する個人向け風評対策アプリ
