力ずくで欲しいものを奪うよりも、人を騙す方が簡単です。だからこそ、技術的なスキルではなく策略に頼るフィッシング詐欺は非常に効果的です。Googleの担当者に数千万ドルを支払わせるのは、その金銭を扱うシステムに侵入するのに比べれば比較的簡単です。そして、まさにそのようにして、ある人物がメール詐欺でGoogleとFacebookから約1億ドルを詐取したのです。
フォーチュン誌は本日、GoogleとFacebookもこの詐欺の被害に遭ったと報じました。GoogleはTom's Hardwareへの声明でこの事実を認めました。「ベンダー管理チームに対するこの詐欺を検知し、直ちに当局に通報しました」と広報担当者は述べています。「資金は回収でき、この問題が解決したことを嬉しく思います。」Facebookはコメント要請に応じていません。この一連の騒動は、ある基本的な真実を浮き彫りにしています。それは、世界最大級のテクノロジー企業でさえ、偽造されたメール、文書、その他の資料に基づくフィッシング攻撃の被害に遭いやすいということです。
司法省の起訴状ではこの計画について次のように説明されている。
[エヴァルダス・リマサウスカス]は、アジアを拠点とするコンピュータハードウェア製造会社(以下「会社1」)と同名の会社(以下「会社2」)をラトビアで登記・設立し、会社2の名義でラトビアとキプロスの銀行に複数の口座を開設、維持、管理していました。その後、定期的に会社1と数百万ドル規模の取引を行っていた被害会社の従業員と代理人に、詐欺的なフィッシング詐欺メールが送られ、被害者企業が合法的な商品やサービスに対して会社1に負っている債務を、RIMASAUSKASが管理するラトビアとキプロスにある会社2の銀行口座に送金するように指示していました。これらのメールは会社1の従業員と代理人からのものだと主張し、会社1の従業員と代理人から送信されたという虚偽の印象を与えるように設計されたメールアカウントから送信されていましたが、実際には会社1によって送信も承認もされていませんでした。この計画により、被害企業を騙して不正な送金指示に従わせることに成功しました。
このフィッシングと他のフィッシング攻撃との主な違いは、金銭の額です。偽のメールアドレスを作成したり、他人になりすましたりといった、同様の手口で目的を達成しようとする者もいます。目的は金銭の場合もあれば、情報の場合もあり、あるいは攻撃者の真の標的に近づくためである場合もあります。動機は重要ではありません。重要なのは、この種の攻撃が成功率が高いということです。あなたは、友人、家族、あるいはよく知っている企業から受け取るメールを全て注意深く精査し、本物かどうか確認していますか?
ほとんどの人はそうではありません。そして、たった一度のミスが深刻な結果を招く可能性があります。例えば、詐欺師はNetflixのサイトを装った悪質なウェブサイトを立ち上げ、個人情報を収集し、なりすましに利用しようとするかもしれません。あるいは、不正に入手したLinkedInのパスワードを使ってSkypeアカウントにアクセスし、そのアクセスを使って知り合いの情報を収集するかもしれません。まるでドミノ倒しのようなものです。最初のドミノを弾いて、他のドミノも同じように倒れるのを待つだけです。もし一度失敗しても、何度でもやり直せばいいのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ジュン・H・キム米国代理検事は、リマソースカス氏の逮捕に関するプレスリリースで次のように述べた。
地球の裏側から、エヴァルダス・リマサウスカス容疑者は多国籍インターネット企業を標的とし、代理店や従業員を騙して1億ドル以上を自身の管理下にある海外の銀行口座に送金させたとされています。この事件は、あらゆる企業、たとえ最も高度な技術を持つ企業であっても、サイバー犯罪者によるフィッシング攻撃の被害者になり得るという警鐘となるはずです。
私たちにも同じことが言えます。フィッシング詐欺に騙されてしまうのは簡単です。その運命を避ける唯一の方法は、疑わしいメールを注意深く調べ、誰と情報を共有しているのかを確認し、万が一の事態に備えたバックアッププランを用意して、常に警戒を怠らないことです。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
