プリテキスティングとソーシャルエンジニアリング

プリテキスティングのキーワードで多数の閲覧がある。

hpの例の事件だ。

今回は、プリティスティングついて書いてみる。

皆さんは、ミステリーショッパーって知っているだろうか?

これは飲食店や接客サービス業で利用される調査サービスだ。

例えば、飲食店本部より依頼を受けた、専門企業からミステリーショッパーが、店舗に出向き、チェック項目の通りに調査をしてくる。

新しいメニューの説明をしているか?とか、受け答えの言葉遣いはどうか?とか、トイレはキレイに掃除されているか?などなど、チェックして報告書を書くのが仕事になる。

これは、社内の調査監査部隊が動いてしまうと、意味がない。

顔がバレているし、客観的な判断がし難いからだ。

アルバイト的に趣味でやっているような、半分素人の人だからこそ出来るワザ。

店舗側の人たちも、一般客かミステリーショッパーかの区別がつなかい。だからこそ意味のある事なのだ。

これから行きますよ?なんて言ってから行っては、普段の様子が見えないのだ。

 

では、ソーシャルエンジニアリングという手法はご存じだろうか?

直訳すれば社会工学になるが、ここで言うソーシャルエンジニアリングとは、人間相手に身分を偽装したり、信用させたり、肩越しに盗み見したり、ゴミ箱を漁ったりすることを言う。

至ってローテクな手法である。ローテクだからこそ、難しいように思えるが、実は身近なところで、誰でも経験や、意識せずにやっているのである。

これにハイテクな(死語ですね)インターネットやコンピュータが絡んでくると、より大きな被害になる。分解すれば簡単な事だったりもする。

ソーシャルエンジニアリング手法の立場から考えてみる。あくまでも、この立場から・・・でないと、話がおかしくなってしまう。読んで頂ければきっと理解してもらえるだろう。

例えば、犬の散歩に行き、近所の方に”今日は、お休みですか?”なんて聞かれたり、犬が集まる公園などで、飼い主の名前も知らぬままに、犬の名前だけで人間同士のコミュニケーションを取りながら、初対面の人にも結構いろんな話をしてしまう。

これは、愛犬家(私も愛犬家の1人)の場合、犬を飼っている人に悪い人はいない!と思い、犬好きと言う共通のモノを通して、コミュニケーションをするから、そこでは人間の名前は必要ない。必要なのはワンちゃんの名前だけ。

他には、初対面の人でもサークルや、新しく転職した会社の人、自分に親切にしてくれた人などなど、初対面でもあるのに、気軽に話す。同一の枠だけで信用するからである。

しかし、電車で偶然隣に座った人や、街を歩いているときに声をかけられて、話すだろうか?

いずれも、初対面であることには違いはない。

 

別なところでは、満員電車で痴漢に間違われないように、両手でつり革を持ったりすることや、はじめていった場所で道に迷い、ウロウロしている自分が自分でもあやしく思い、妙にあやしくないような行動をとる。それ自体があやしいのだか(笑)

 

ソーシャルエンジニアリングは、こんなところから、スパイ活動のようなレベルまで幅が広い。

合コンに行けば、ちょっとだけ見栄を張り身分を偽装したり、相手を信用させるために、ビジネスの場面でも、ちょぴり大げさにモノを表現したりする。取引先の名前を出すことで、相手も信用する場合などがこれである。これは実際に取引先であっても、100円の取引しかしてなくても、**会社は、我が社の取引先です。に嘘はない。規模が若干違うだけ。

私の知り合いには、定期券の年齢が9掛けの人も多くいる(笑)

こんな程度の話であれば、まったく問題はない。

 

このレベルが大きく拡大し、そこで収集した情報を元に、他の目的で利用するために行われること。ソーシャルエンジニアリング。

この手法においては、法に触れることもある。後の扱いも同様である。

オレオレ詐欺や振り込め詐欺は、この手法をフル活用している。

用意周到に行われる。

 

プリテキスティングは、これらをフル活用し、なりすましなどで情報を入手する。

今回問題になっているのは、この部分。

完全に身分を偽装し、本人になりすまし、本来本人しか知り得ない情報を聞いてしまった。それが、なんで解ったの?を分解していけば根っこが見える。

今回は、ただそれだけのこと。しかし違法であることは言うまでもない。

決して新しい事ではなく、ある程度の準備をすれば難しいことではない。

 

一番恐いのは、これに気づかずにペラペラ喋ってしまう人の多いことだ。

わかっていれば良いのだが、知らないとその後の展開も見えないので、何でもありになってしまう。

それも自分でなく、他人の話をしてしまう事が多く見られる。

 

コミュニケーションから考えれば、ここまで書いたことはナンセンスな事。

しかし、そんなこともある事だけは、知っておきたい。

プリテキスティングもソーシャルエンジニアリングも、身近にある話で、対岸の火事ではない。米国だけの話しでもない。

 

ちなみに、一番この手法が得意な人たちがいる。

ここで書けるのは、飲み屋のお姉ちゃん位だ。プロもビックリするほどのヒアリング能力!

特殊で公的な職業の方々も得意な人たちがいる。あえて職業は書かない(笑)

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。