ソーシャル・エンジニアリングを完全に根絶することはできませんが、対抗策を講じることは可能です。

ある女性が企業オフィスのロビーに入って来ました。彼女がこの建物に足を踏み入れるのは初めてで、ここにいる誰もが彼女を見たことがありません。彼女は社員でも客でもなく、身分証も持っていません。

しかし、人々の様子を見ても、彼女の存在に気づくことはありません。実際、誰も反応しないのです。みな、退屈なオフィス備品の一つのように疲れた表情で彼女を無視します。休憩室のフーズボール台でさえまだ目に留まりますが、彼女は床に固定されたプラスチック製の観葉植物のように、いつもそこにあるだけで、立ち止まって目を向ける価値もない存在なのです。

遮るものもなく、彼女は受付まで大股で歩み寄った。

「こんにちは」と彼女は少しばつが悪そうに言った。

受付係はモニターから顔を上げ、気晴らしを歓迎しているような様子だ。（経理のジェリーは、本来は内輪向けのEメールにまた全員返信している。）

女性は、自分の席に座っている見知らぬ男性をを見るやいなや、安堵感はすぐに困惑に変わりました。この訪問者が誰なのか、考えを巡らせましたが思い浮かばず、考え込むように顔をしかめます。

「お忙しいところ申し訳ありませんが」と女性は声をかけました。「隣のオフィスで面接を受けるのですが、履歴書にコーヒーをこぼしてしまいました。新しいコピー一部を印刷してもらえないでしょうか。ここにファイルがあります」。

女性は得意げにUSBメモリーを取り出し、じゃーん！受付係の顔には笑みが広がります。彼女はこの困っている人を助けてあげようと考えます。今朝ロサンゼルスの渋滞で散々罵声を浴びせた自分に、少しはカルマを取り戻したいと思っていたのです。

受付係は何も考えずにUSBメモリを自分のPCに差し込みます。彼女がドライブ内の唯一のファイルを開こうとダブルクリックしている間、二人は世間話を続けます――この行為をきっかけに複雑な連鎖反応が始まり、その日の終わりにはネットワーク全体が侵害されてしまいます。

履歴書に見せかけたファイルは実は巧妙に偽装されたマルウェアで、受付係のコンピューターへ密かにインストールされています。彼女はまったく疑っていません。無理もありません。その女性は感じの良い人物に映り、両親から思いやりを持つよう育てられたのでしょう。

ここまでお読みいただいた内容は実話です。私は訪問者として善意の受付係をだまし、結果として彼女の会社を危険にさらしました。善行が必ずしも報われるとは限らないものですね。

ただし、実際に誰かのコンピュータをランサムウェアに感染させたわけではなく、許可を得てそこにいたということを強調しておく必要があります。会社は建物の物理的な評価を行うために私を雇いました。（それはいわば私の仕事です。）ご覧のとおり、いくつかの弱点が見つかりました。

通常、物理的またはデジタルの評価を行うと、弱点が見つかります。特に、ソーシャル・エンジニアリングに対する弱点です。

あらゆるトレーニングや法執行機関からの通達、数百万ドル規模の強盗事件の報道、そして私のような専門家による警告にもかかわらず、ソーシャル・エンジニアリング攻撃は依然として私たちの隙を突いてきます。

「知らない人からUSBメモリを受け取らない」というのは一見すると簡単なルールに思えます。しかし、ソーシャル・エンジニアリングが効果を発揮するのは、私たちの「人の役に立ちたい」という本能的な心理を巧みに突いてくるからです。

詐欺師は他の感情も巧みに悪用します。

こうした感情をあおるために、詐欺師は口実（作り話）やペルソナ（演じる役柄）をでっち上げます。例えば：

「IT部門のスーザンです。新人なので、私の名前はまだご存じないかもしれませんが、Eメール移行の件はお聞きになっていますよね。新しいアカウントを設定する必要があります。部署で残っているのはあなたが最後です。パスワードを教えていただけますか——」

時には、こうした人たちのために劇団を立ち上げれば、ソーシャル・エンジニアリング攻撃を半減できるのではないかと思うことがあります。空想を健全に発散できる場を提供するわけです。ええ、気持ちはわかります——私自身、お客様のビルに侵入するときはウィッグをかぶるのを楽しんでいますから。

悲観的になりたいわけではありませんが、現実を直視する必要があります。ソーシャル・エンジニアリングを完全に撲滅することはできません。攻撃者がどんな巧妙な偽装でも欺けないスパムフィルターを開発することも、銀行からのメッセージやコーヒーのシミが付いた履歴書を持つぎこちない来訪者などの「偽物」と本物を100%見分けられる万能の検査方法を手に入れることも不可能です。

人間に感情がある限り、詐欺師はそこにつけ込みます。（AIの支配者に登場を急いでもらう必要があるかもしれませんね。）

これはチーフ・ピープル・ハッカーである私の今後の展望が明るいという意味では朗報ですが、皆さんにとっては決して朗報ではありません。

よい面を見れば、長年にわたり詐欺師（メタ！）のふりをしてきた私の経験から、攻撃者の前に障害物を置けば置くほど、不正アクセスが成功する可能性が低くなるということを学ぶことができたという点でしょう。

そこで、ソーシャル・エンジニアリング攻撃を寄せ付けないための有効な対策をいくつかご紹介します。

ソーシャル・エンジニアリング攻撃が恐怖や社会的プレッシャーといった強い感情に訴えるのは、考える前に行動させるためです。

まずい――この異常に高額な請求書を今すぐ払わないと大変なことになると上司に言われた。すぐに対応しなきゃ！

私のアドバイスは、テキスト・メッセージやEメール、電話などの連絡手段を受け取った際には一度立ち止まり、内容をじっくり精査することです。言うは易く行うは難しですが、これはソーシャル・エンジニアリング攻撃に対抗するうえで最も効果的な対策と言えます。多くの人がEメールを注意深く読み、反応する前に疑問点を確認する習慣を身に付ければ、危険信号が目の前で次々と浮かび上がってくるはずです。

いや、おかしいぞ。ベンダーへの支払いは通常これほど大きくない。しかも、なぜ上司はいつもの会計システム経由で送信するのではなく、私に直接電子メールで連絡してきたのだろうか。これについては確認したほうがいいぞ。

もう1つアドバイスです。不審な要求に対応するときは、別のコミュニケーション・チャネルを利用してください。上司から不審なEメールが届いたら、電話で確認しましょう。元のメッセージがソーシャル・エンジニアリング攻撃だった場合、直接返信すると詐欺師に繋がってしまいます。

当たり前のように思えるかもしれませんが、従業員が直面する実際の攻撃を想定していない一般的なサイバーセキュリティー研修に依存している組織は少なくありません。

顧客企業のトレーニング資料を見直すたびに、今では攻撃者がほとんど使わない手口に焦点を当てた時代遅れの内容だと気付くことが本当に多いのです。（かつては「ナイジェリア王子」でしたが、今は暗号資産投資が流行しています。）

アウェアネス・トレーニングは、業界標準のベスト・プラクティスと自社固有の状況の両方を踏まえて設計する必要があります。たとえば特定の手口の電話が頻繁にかかってくるのか、詐欺師が決まった口実や人物像を用いているのか――そうした実情を教材に組み込み、現場に即した訓練を行ってください。

十分な注目が集まっていないトレーニングの一例として、サイバー・レンジ演習があります。

サイバーレンジは、現実のネットワークやサイバー攻撃を再現する物理／仮想環境です。これらを利用してランサムウェア感染などのサイバー危機をシミュレートし、経営層やチームメンバーがどのように対応するかを検証します。

Big Cyber Range（大規模サイバー演習場）の宣伝だと思われるかもしれませんが、ここで強調しておきたいのは、サイバー危機シミュレーションの最大の利点が「自社の危機対応計画に何が欠けているのか」を明確にできる点だということです。

多くの組織は計画を携えてサイバー演習に臨みますが、いざ実践となると計画には大きなギャップがあることに気付きます。想定していなかった攻撃手法、割り当てていなかった責任、明確化されていなかったコミュニケーション計画などがその例です。

サイバー危機シミュレーションを実施しておけば、ハッカーが侵入する前に、誰が何を担当し、誰と連携するのかを明確にできます。これにより、ネットワークが「This is fine」の犬のように燃え上がっているときに、休憩室でコーヒーを飲みながら傍観する――そんな事態を防げます。

攻撃者を足止めする最も簡単な方法の1つは、重要または通常と異なるリクエストすべてに対して本人確認を徹底することです。請求書の支払いや機密情報の共有、CEOが清掃スタッフ向けにiTunesギフトカードを購入するのを手伝うといった依頼であっても、必ず確認しましょう。

（最後のものは間違いなく詐欺です）

推測されやすい誕生日や入社日などを認証要素として使う組織は少なくありません。代わりに、容易に推測・取得されにくい要素を選定することを推奨します。

例えば、昨年の夏、フェラーリ社の幹部は、音声複製ツールを使用してCEOのふりをした詐欺師に、本物のCEOが最近どんな本を勧めたか覚えているか尋ねることで、ヴィッシング（音声フィッシング）詐欺を阻止しました。慌てた詐欺師はすぐに電話を切りました。

図書館を運営していない限り、書籍の推薦だけでユーザー認証を完結させることはできません。しかし、他の対策は講じられます。たとえば、私のクライアントの1社は毎週月曜日に更新される定期パスワードを採用していました。ところが、それが唯一の認証要素だったため、私は担当者をだましてパスワードを聞き出し、システムに侵入できてしまいました。

ここで、次の話題である「レイヤー」についてお話しします。検証要素を1つだけにせず、2つないし3つ尋ねてください。リクエストの重要性が高ければ高いほど、要求する要素も多くすべきです。複数の情報を収集する必要がある場合、詐欺師が人を騙すのが非常に難しくなります。

全員に最先端のトレーニングを受けさせることで、完璧なポリシーを策定することができます。あなたが説いていることを実践するために必要なツールを提供していなければ、何を説いたところで実質的には何の意味もありません。

先ほど冒頭でお話ししたエピソードに戻りましょう。あの話には少し脚色がありました。実際には私に気付いた人がひとりだけいました――私が後をつけて建物に入ったあの女性です。

入館には社員証をスワイプする必要があります。私には社員証がなかったため、いわゆる「テールゲーティング」という古典的な手口を使うしかありませんでした。つまり、誰かのすぐ後ろにぴったり付いて行き、無礼にならないようドアを開けたままにしてもらう方法です。

私はその女性の後をつけながら、彼女が何かに気づいていることを悟りました。私に向けられた鋭い視線がすべてを物語っています。正体が露見したと感じた私は、屈強な警備員に担ぎ上げられ、漫画のように放り出されるのを覚悟しました。

しかし驚いたことに、想定したような防御は行われませんでした。私は“マルウェアの妖精”よろしくUSBメモリーをあちこちに仕込みながら、受付でクライマックスとなる対決を演出するまで何時間も自由に動き回れたのです。

私は受付担当者が私の履歴書を印刷する様子を眺めていました。そのとき背後で奇妙な会話が交わされているのが耳に入りました。誰かが見かけた人物の特徴を話していたのですが、それはどう聞いても私とそっくりだったのです。服装。身長。髪の色。

慎重かつ素早く肩越しに目をやると、例の女性が警備員に私の特徴を説明していました。警備員はノートPCで監視カメラ映像を確認しながら、わずか数メートル先にいる私を探していたのです。

ところがどういうわけか、私は誰にも気づかれずにこっそり抜け出すことができました。

評価の結果を顧客と話し合うために戻ったとき、私が最初に尋ねたことは、「なぜそんなに時間がかかったのですか」でした。その女性は私が建物に入ってくるのを目にしながら、報告するのに3、4時間もかかりました。

調べてみたところ、その女性はもっと早く通報したかったものの、どのように通報すればよいかがわからないでいたことが判明しました。正しいメールアドレスを見つけるのに数時間かかり、セキュリティー担当者が連絡するのにさらに数時間かかりました。

こんな場面にはよく遭遇します。誰かが私の後ろにぴったり付いて入館していると気づき、私は陽気に「ありがとうございます！」と声をかけます。その人は私を上から下まで見回しますが、面識はありません。それでも、どうすればよいのでしょうか。

彼らは後ろから付いて入館しようとする人を制止したり、見知らぬ人からプリンターを使わせてほしいという依頼を丁重に断ったりする方法を知りません。助けたいと思うのが人間の本性であり、相手を疑ったり、ましてやはっきり「いいえ」と言ったりするよう教育されていないためです。

要点は、『見知らぬ人を建物に入れない』『不審者をセキュリティに報告する』といった指示を出すだけでは不十分だということです。従業員には、その手順を具体的に示し、トレーニングの一環として実際に練習する機会を提供する必要があります。

IDバッジを付けずに歩き回る見知らぬ人を見かけたら、立ち止まらせてください。「ご用件を伺えますか。まずは受付で手続きをしましょう」と声をかけます。プリンタの使用を求められた場合は「その前にバッジを発行します——形式的な手続きですので、すぐにセキュリティーにご案内します」と伝えましょう。

これらの手順を暗記してもらえるとは考えないでください。実際の場面に直面すると、誰でも慌てやすいものです。すべてのワークステーション—あらゆるデバイスと机—に、物理的およびデジタルのソーシャル・エンジニアリング攻撃への対応ガイドを常備してください。そこには重要な電話番号、Eメール・アドレス、そして段階的な報告手順を記載しましょう。

もしあの女性が私を見た瞬間に行動していたら、受付をだますことはできなかったでしょう。

だから、よく考えてみれば、悪いのは彼女であって私ではありません。