迷惑メールがソーシャルエンジニアリングと出会うと……

f:id:niwaringo:20140916214434j:plain

ラジオで「最近は迷惑メールがソーシャルエンジニアリングと組み合わされている」と報じられていました。恐い。

少し聞き慣れないソーシャルエンジニアリングのおさらいを。

ソーシャル・エンジニアリング - Wikipedia

ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。

wikipediaによるとこう言うことらしいですが、ちょっとわかりにくいですよね。ラジオで紹介されていた2つの具体例を見てみましょう。(もう少し紹介されていたかも知れませんが、私が覚えているのは2つでございます……)

履歴書を装った迷惑メール

一つ目は、履歴書を装った迷惑メール。

これから新卒採用の季節。一般的に採用は専用サイト利用しているでしょうから、応募者から直接メールが来ることはないと思いますが……

「是非、貴社で働きたいんです。履歴書だけでも見てください!!」的なメールが人事に来たら、とりあえず添付を開いてしまう確率は高いのでは無いでしょうか?開かなくて放ったらかしにして、ソーシャル炎上とかのリスクもありますからね……

苦情を装った迷惑メール

二つ目は、苦情を装った迷惑メール。

これ凶悪ですよね。本当に恐い。

「お前の所の商品を開封したら、添付画像みたいな状態だったぞ!どうしてくれるんだ!!」のようなメールが来たらと思うと……背筋が寒くなりますね。開いてしまいそう……

亜種として公の苦情処理組織を装うパターンもあるみたいです。


ユーザー側の認識としては「ソーシャルエンジニアリングを組み合わせた迷惑メール」はそれほど認知されているとは言い難い状況です。

ユーザー側が想定する「有名人を装う」や、「当選のお知らせ」などの迷惑メールと、ソーシャルエンジニアリングを組み合わせた迷惑では隔世の差があります。

迷惑メール自体は迷惑メールフィルタの発達のおかげでほとんど見ることは無くなりました。それがゆえにユーザー側は迷惑メールに対する免疫が弱っている可能性もあるかも知れませんね。