皆さんは「ソーシャルエンジニアリング」という言葉を聞いたことがおありでしょうか。　ソーシャルエンジニアリングとは、人間の持つ思い込みや、行動のミスなどのスキにつけ込む「社会的な振る舞い」によって、個人が持っている情報などを入手する方法のことです。出身校の同窓会関係者を装って、家族構成や勤務先などの個人情報を入手する、銀行員のふりをして暗証番号を聞き出すなど、一般に「なりすまし」と呼ばれる手口はソーシャルエンジニアリングの代表的な手法と言えます。

　刑法には、詐欺罪について「人に偽りの情報を与えることによって、その人間に誤った判断をさせて、財物をだまし取ったり、財産上不法の利益を得たりする」趣旨のことが記されており、人に偽りの情報を与えて財産上不法に利益を得るという意味で、なりすましも詐欺の一つであると解釈することができます。詐欺というと、人をだまして金品などの財物を取るというイメージが強いのですが、情報と金銭が密接に関連する現代に生きる私たちは、情報をだまし取ることも"詐欺"であるというスタンスで望む必要があります。

　セキュリティの分野では一般に、人をある場所に入れて良いかどうかの判断に、その人物の持つ「資格と必要性」という判断尺度を使っています。たとえば、コンピューターの管理者という「資格」を持ち、かつ「メンテナンスを行う」という正当な「必要性」がある場合にのみ、コンピュータールームへの立ち入りを許します。コンピューターの管理者という資格があっても理由もなく立ち入らせたり、逆にメンテナンスを行うという必要性があっても管理者の資格がないものを立ち入らせたりしてはだめなのです。

　他人からある情報を与えられて、その情報をもとに自らの持つ情報を与えなければいけない場合にも、「相手の持つ資格と必要性」というセキュリティの分野でよく用いられている判断基準を明確に意識し、相手から入手した情報と注意深く照らし合わせることで、自らの重要な情報を不用意に与えてしまうという行動を減らすことができるものと考えられます。

　意志決定を行う際に、人は必ず何らかの情報をもとに自らの判断基準と照らし合わせて判断を行っています。先のコラムでも触れたことがありますが、「正しい情報・正しい判断基準を持つこと」が詐欺の被害にあわない要諦となります。だまされないようにするには、正しい情報を入手し、正しい判断基準と照らし合わせることが重要です。加えて、重要な判断を求められたら、自分一人で判断しないで周囲の人と相談し、その人の持つ情報や判断基準とも照らし合わせて二重のチェックを行うことで、だまされることはより少なくなります。の結果、前回のコラムでも触れた「盗品を換金する手段にストップをかけること」が成功し、携帯電話機を狙う泥棒が大きく減ったと理解できます。携帯電話の持つ通信機能をうまく活用して、その機能をストップさせることによって、盗品の財物としての価値を失わせることがうまくいった良い例と言えるでしょう。

「ユビキタス」という言葉が使われるようになって久しいのですが、いつでもどこでもネットを介した通信ができるユビキタス環境は、このような形で、盗品取引を抑え込み、盗難の被害を減らすことができるようにする防犯のツールにもなり得ます。たとえば、最近盗難のターゲットとして狙われることが多くなったカーナビや、車それ自身の盗難なども、カーナビに通信機能を付加し多機能化した、いわゆる「テレマティクス」の進化によって、携帯電話機と同様の手法によって抑え込むといったことが可能になります。防犯という観点から見ても、「いつでもどこでも通信が可能になる」ユビキタス通信技術に期待するところは大きいのです。

（参考）
・「詐欺師の使う話術から身を守る方法」（2010/1/4「安心豆知識」）


セコムIS研究所
セキュリティコンサルティンググループ
甘利康文