コンピュータやソフトウェアの欠陥ではなく,人間の欠陥を悪用したサイバー攻撃が多発しています。このような攻撃手法を「ソーシャルエンジニアリング」といいます。
いわゆる「オレオレ詐欺」は,被害者に対し「私はあなたの孫ですよ」などという認識を形成させ,金銭を詐取するもので,ソーシャルエンジニアリングの一類型です。
さて,これが少し高度になると,電話をかけてみて「はいXX株式会社AA部です」から「電話に応対した人はAA部所属」という情報を得て,「いつもお世話になっております。AA部長の何さんでしたっけ…にお取次ぎ願いたいのですが」と聞けば,「AA部長はYYでございます。取り次ぎましょうか?」などと答えてしまうのも人間でしょう。
このような人間の特性あるいは文化を利用して情報を取り出すのがソーシャルエンジニアリングですが,さらに進んで「YYさんにお取次ぎを…YYさんお久しぶりです!先ほどファイルを送りましたので確認を…ええ,H時M分くらいのです!」といってメールの添付ファイルを開封させ,結果としてウイルスに感染させる手法が横行しています。
また,ソーシャルエンジニアリングの特殊な例として「MFA疲労攻撃」(多要素認証疲労攻撃,MFA Fatigue Attack)が一時期問題になったことがあります。
近年は大手プラットフォーマー(GoogleやMicrosoftなど)の対策強化により少なくなりましたが,SMS認証やメール認証のリクエストを短時間に多数送信するものです。
そうすると,被害者のスマートフォンには「ログインを試行しましたか?間違いなければOKを押してください。」などというメッセージが多量に押し寄せるので,嫌気がさした被害者がついOKを押してしまうというものです。
認証システムを設計される方は,このような事象があることを念頭に設計しなければなりません。もっとも,当社としては認証システムの自社設計は到底推奨できず,大手プラットフォーマーが提供するものを利用すべきだと考えます。