Facebook
「標的型攻撃」は、一見すると冗長な言葉です。攻撃には当然、標的が存在します。標的があるからこそ攻撃するのです。しかし、現実はというと、最近までほとんどのオンライン攻撃(フィッシング、マルウェア、個人情報の盗難、銀行詐欺など)は基本的に無差別攻撃でした。ハッカーは大した考えもなく餌を投げ入れ、釣れたものすべてを搾取していたのです。
しかし、状況は一変しました。現在、多くの攻撃者は事前に調査を行い、標的に関する情報を収集し、嗜好や習慣を探り当ててから、その人物のために特別にあつらえた攻撃を行うようになりました。この方が成功率はぐんと上がるからです。
ここで、例として、ある 1 つの攻撃がどのように進行するか見てみましょう。
- ハッカーは、とある医療機関のデータ漏えい事故で盗まれた患者のメールアドレス一覧を購入します。
- ハッカーは、その中からメールアドレスをいくつか選んで Google 検索します。すると、ある人が同じメールアドレスを使って別のオンラインサービスに登録していることがわかりました。これは、その人のオンライン上の存在を理解するのに有効です。Facebook、Twitter、その他ソーシャルネットワークのアカウントなどを割り出せるからです。
- 次にハッカーはその人のデータを精査し、利用する銀行またはクレジットカード会社を突き止めます。
- そして、偽のメールアドレスを使って標的が利用する銀行から送られてきたかのようなメールを作成します。メールにはリンクを記載し、リンク先には銀行の偽 Web サイトを設置します。リンクをクリックすると、そのサイトに接続されますが、そこにはブラウザーのぜい弱性を悪用する不正コードが仕込まれています。
- 不正コードは、キー入力を記録するマルウェアを標的の人のコンピューターへとインストールします。ハッカーの用意したサイトに不審を覚え、その人は銀行口座の無事を確認するために正規の銀行サイトへアクセスします。しかし、ユーザー名とパスワードを入力すると、マルウェアはその内容を記録してハッカーに送信します。
- こうしてハッカーは標的の銀行口座にログインし、管理下にある口座へと預金を送金します。ゲームオーバーです。
これは、日常的に発生している攻撃の一例に過ぎません。標的について調べる時間が十分あり、たった 1 人を攻略できれば、ハッカーは素晴らしい一日が過ごせるのです。
