「信頼したメールの主はハッカー データ盗まれNEM流出」

https://www.asahi.com/articles/ASM1V46Q7M1VUTIL018.html

仮想通貨交換業者コインチェックから約580億円相当(当時のレート)の仮想通貨NEM(ネム)が流出した事件で、ハッカーが半年前から、同社のネットワークへの侵入を狙って社員とのメールや電話を頻繁に繰り返していたことが分かった。

ソーシャルエンジニアリングか.古典的手法じゃん.

一般人なら知らなくてもしょうがないけど,セキュリティが売りの企業で,これはアカン.
まったく擁護できません.

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

2017年7月、複数の同社社員のもとに英文のメールが届いた。その2カ月前に米国で開かれた世界最大級の仮想通貨イベントを挙げ「参加した○○です」などと名乗っていた。このイベントは取引が始まったばかりのNEMのお披露目の場として使われていた。

  1. 相手から送られてきた電話やメールは信用しちゃだめ.*1 せめてこちらから番号を調べてかけ直せ.それだけでもかなり効果がある.*2
  2. 「参加した○○です」と名乗るくらい誰でも名乗れる.信用する根拠にならない.*3
  3. お披露目の場にしたことは公開情報では?


せめて直接会って,顔写真つきの身分証明書で確認し,裏付けも取る.そこまでやっても巨額詐欺事件なら十分とは言えないかな.

*1:オレオレ詐欺からフィッシングメールまで,広く使われてる方法だ.

*2:さらに用意周到な輩なら,職業別電話帳や検索エンジンにまで細工ずみかもしれないけれど,すくなくとも数段大がかりになる.

*3:「消防署の方から来ました」とか言われて信用するか?