米フェイスブックは、7月15日、イランのハッカー集団「トータスシェル」がスパイ目的で作っていた約200の偽アカウントを閉鎖したと発表した。ハッカーたちは、偽アカウントを作って、英米・ヨーロッパの軍人や航空宇宙・防衛企業の社員に近づき、友達申請をしていた。標的から親しみを持ってもらいやすくするため、プロフィールでは、航空宇宙・軍事企業の社員や人事採用担当などを装っている。
ハッカーたちは、じっくりと時には数カ月かけて標的の人物とやりとりしつつ、信頼関係を培い、頃合いをみてリンク付きのメッセージを送った。リンクをクリックすると、メールアドレスやソーシャルメディアのアカウント情報の入力が求められる。ハッカー集団の作っていた偽サイトは、米労働省の人材募集サイトや軍事企業の社員が利用する人材募集サイトなどにそっくり似せた、実に巧妙なものだったという。
信憑性の高い偽プロフィールを作り上げるため、ハッカー集団は、フェイスブックだけでなく、他のソーシャル・ネットワーキング・サービス(SNS)にもアカウントを作っていた。米リンクトインはフェイスブックからの一報を受けて、数多くのアカウントを閉鎖、米ツイッターも調査を始めた。
コロナ禍で暗躍する「SNS上のスパイ」
世界の求職者の86%がSNSを活用しているとの統計もあるほど、SNSは、優秀な人材を探そうとしている企業や就職先・転職先を探している人々にとって欠かせないツールとなっている。
その一方で、スパイにとってみれば、SNSは、知的財産や安全保障に関する情報を持っていそうな人物に狙いを定める格好の狩場でもある。どの組織でどういった業務に携わっているか、いつどこでどのようなプロジェクトに関わっているか、誰と繋がっているかといった情報が無料かつ大量に溢れているからだ。しかも、情報を盗むために逮捕される危険を冒して別の国に潜入しなくて済む利点もある。
さらに、コロナ禍でテレワークが広まり、職場内よりも弱いサイバーセキュリティ環境下で仕事をしている人が増え、上司や同僚の目が行き届きにくくなったことも、SNS上のスパイにとって好都合だ。
英国政府のドミニク・フォーテスキュー最高セキュリティ責任者は、「SNSを通じて仕掛けられてくる巧妙なアプローチに対し、今まで以上に脆弱になってしまった」と警告している。
雇用側である政府機関や企業は、安全保障に関する機密情報や最新技術などの知的財産を守るためにも、どのような手口のスパイ活動がSNS上で繰り広げられているのか把握し、サイバーセキュリティ研修で注意喚起すべきだ。また、SNSの利用者も、身の安全と雇用主や顧客の情報を守るために、よく使われる手口を知っておいた方が良い。
「大手企業の人事担当」名乗り、プロフィール写真も工夫
見知らぬ他人からSNSで繋がり申請が来た際、不審に思い、拒絶する人はそれなりに多いだろう。しかし、大手企業の人事採用者からの転職の誘いや有名な国際会議の主催者からの招待メッセージだったら、どうだろうか。その上、自分の知り合いや経営幹部、政府高官たちと数多く既に繋がっている人物であれば、一層、心理的なガードは下がるはずだ。
しかも、コロナ禍で転職を考える人は増えている。マイナビが今年3月に出した日本の転職動向調査によると、コロナ禍の影響で「転職に積極的になった」人は4割弱となっており、「転職に慎重になった」人の割合の約2倍である。
SNS上のスパイたちは、人々のそうした心理を知り抜いているからこそ、SNSで使う肩書きやプロフィール写真に工夫を凝らす。「大手企業の人事担当」はよく使われる肩書きだ。標的に親近感を持ってもらうため、同じ業界のプロフィールを作り上げる。パリッとした服装でいかにも有能そうな顔つきをした写真や、親しみやすい笑顔のプロフィール写真も使われる。標的が一旦餌に食いつくと、非常にまめにメッセージをやり取りする。
例えば、北朝鮮は、ヨーロッパや中東の航空宇宙企業や軍事企業に対し、2019年9月から12月にリンクトイン上でスパイ活動を行っていた。その際、使っていた偽のプロフィールは、航空宇宙・防衛分野の米大手「コリンズ・エアロスペース(前ロックウェル・コリンズ)」と「ジェネラル・ダイナミクス」の人事である。
スロバキアのセキュリティ企業「ESET」が2020年6月に出した報告書には、北朝鮮の攻撃者と被害者間の実際のやりとりが掲載されている。「ロックウェル・コリンズ」の人事採用担当課長を装った攻撃者が「貴殿のプロフィールをリンクトイン上で拝見し、熱意に打たれました。貴殿のようなエリートを是非弊社にお迎えしたく存じます」とメッセージを送っている。ただ、使われていた英語の表現はかなりぶっきらぼうで、ネイティブの人事幹部であれば使わない表現がいくつか見られる。
「お申し出ありがとうございます。XXにもオフィスはおありですか?」と返信してきた被害者には、毎回必ず1分以内に畳み掛けるようにして返事を送っていた。最終的には、仕事の詳細と称したファイルを添付している。だが、これは、コンピュータウイルス付きのファイルだった。
講演や招聘の提案で始まる「骨抜き作戦」
英内務省管轄下で国内の治安維持と対スパイ活動を担当している情報局保安部(MI5)は、今年4月、国家インフラ防護センターと共同で「Think Before You Link(繋がる前によく考えよう)」と題した啓発動画を発表した。2分ほどの短い動画で、よくある手口と対応策について説明している。行動科学の専門家や、英・米・豪・カナダ・ニュージーランドの機密情報共有の枠組み「ファイブ・アイズ」から得られた知見をもとに作ったものだ。
動画の冒頭で、ヘッドハンティング企業の採用担当を装ったスパイが「科学技術庁で業績を上げていらっしゃる貴殿に是非こちらの権威あるカンファレンスで基調講演をして頂けないかと思い、ご連絡差し上げる次第です。お引き受け頂ける場合には、相応の謝礼をお支払いし、費用は当方が負担致します。繋がり申請を受け入れて下されば、さらに詳細をお伝えします」と言葉巧みにリンクトインで繋がり申請メッセージを送ってくる。
標的となった女性は、見知らぬ他人からのメッセージを一瞬怪訝に思うものの、ついうっかり繋がりボタンをクリックしてしまう。ところが、一旦SNS上で繋がってしまうと、スパイの背後にいる国家機関や犯罪組織の人々とも間接的に繋がってしまうことになる。さらに、自分の上司や同僚に関する情報もスパイに見えやすくなり、彼らも狙われてしまいかねない。
この動画で示されたような手口については、2019年に、米国政府も警鐘を鳴らしていた。中国の場合、これなら絶対に落とせると思った標的に対しては、面接や講演、研究のためと称して全費用負担で招聘することもあるという。
MI5によると、過去5年間に、全政府機関と主だった産業に勤める少なくとも1万人の英国人が敵国のスパイの作った偽アカウントによってアプローチをかけられていた。英「タイムズ」紙や英テクノロジーニュースサイト「ザ・レジスター」は、中国やロシア、北朝鮮を例として挙げている。
MI5と国家インフラ防護センターは、面識のない人と繋がってしまい、後で何かがおかしいと気づいたならば、直ちに職場のセキュリティ担当に通報を入れるとともに、繋がりからその人物を削除するよう求めている。
尚、リンクトインは今回のMI5と国家インフラ防護センターの「Think Before You Link」キャンペーンを歓迎している。同社が昨年1〜6月に作成を阻止した偽アカウントの数は、なんと3370万個にも及んだ。
人工知能で作ったプロフィール写真で逆検索回避
画像検索で偽プロフィールと検知されるのを避けるために、わざわざ人工知能(AI)で偽のプロフィール写真を作るケースもある。
米ワシントンD.C.の大手シンクタンク「戦略国際問題研究所(CSIS)」のロシア・ユーラシア問題の研究者「ケイティ・ジョーンズ」を名乗る女性が、2019年の春にリンクトインを使って政府高官や有名シンクタンクの研究者たちに繋がり申請をせっせと送り始めた。プロフィール写真を見ると、緩くウェーブのかかったセミロングの赤毛を横分けにして額を出している、きりっとした顔立ちの30代の女性だ。
繋がり申請を受け入れた52人の中には、国務次官補代理や米上院議員の側近、当時、米連邦準備制度理事会(FRB)入りを検討されていた経済学者のポール・ウィンフリー、元モスクワ駐在の米武官もいる。英タイムズ紙がインタビューしたとある退役軍人は、「青緑色の目をした美人のロシア専門家だったから申請に応じた」と率直に認めた。
申請のメッセージを受け取った人々の中には、ロンドンの有名シンクタンク「王立国際問題研究所(チャタムハウス)」のロシア・ユーラシア専門家であるキーア・ジャイルズもいた。ジャイルズはつい最近、ロシア絡みのスパイ活動の標的にされたばかりであったため、非常に用心深くなっていた。しかも、同じ業界にいるにもかかわらず、聞き覚えのないロシア専門家を名乗る人物からのメッセージだったため、不審に思ったという。
AIの専門家がケイティ・ジョーンズのプロフィール写真を調べたところ、AIで合成されたものであることが判明した。写真をよくよく眺めると、目の色が左右それぞれ異なっている。また、左頬に不自然な汚れがあり、左耳のピアスの先端が溶けたようになっていた。AP通信が調べたところ、ケイティ・ジョーンズの勤務先であるはずのCSISにも、出身校であるはずのミシガン大学にも、該当人物の在籍は確認できなかった。誰がこの偽プロフィールを作ったのかは不明のままである。
より露骨にハニートラップ作戦が展開されることもある。イランのハッカー集団は、2019年から今年の夏にかけて、30歳くらいのエアロビの女性インストラクター「マーセラ・フローレス」との設定で、航空宇宙企業の社員を狙った。長い黒髪にカチューシャ代わりのサングラスを乗せ、思わせぶりな流し目の写真をフェイスブックのプロフィールに、レオタード姿で運動している様子を背景写真に使っている。誘惑するような動画を送りつけたことさえあった。仲良くなると、「食事の調査」と称して、リンク付きメッセージを送っている。米セキュリティ企業「プルーフポイント」が今年7月末に明らかにした。
日本人を狙ったスパイ活動も
SNS上のスパイ活動は、日本人にとっても他人事ではない。リンクトインに氏名と社名、スマートフォンのタッチパネルに必要な技術の研究に携わっている事実を公開していた日本人男性社員が、スパイに言葉巧みに誘われ、営業秘密を盗まれる事件が既に発生している。この男性が勤めていたのは、関連製品で世界有数のシェアを誇る日本企業だった。
男性のプロフィールを見た広東省の通信機器部品メーカーが、リンクトインで取引先の中国企業を名乗り、男性にコンタクトを取ってきた。「技術指導のために非常勤顧問になってほしい」と頼み込み、男性を中国へ招待し、本当の会社名を明かした上で情報交換を持ち掛けた。
当時、当該技術の技術開発部門に所属していた男性は、新製品の開発に対するプレッシャーを感じるとともに、「上層部に業務が正当に評価されていない」と思っていた。同中国企業は、男性が当時関心を持っていた樹脂分野に携わっていると知り、「情報を得て、社内での自分に対する評価を上げたい」と考え、中国企業の申し出に応じてしまった。中国に複数回渡航していたが、宿泊代など滞在費は中国企業側が負担している。
2018年8月~2019年1月、男性は、設備リストや写真データなど、製造工程に関する営業秘密情報をUSBメモリーにコピーした上、私用のフリーメールで2回、中国企業の関係者に送っていた疑いが持たれている。しかし、中国側から男性への情報提供はなく、結局一方的に情報を取られるだけに終わってしまった。
男性の同僚が不正行為に気づき、日本企業は社内調査の後、男性を2019年5月に懲戒解雇し、大阪府警に告訴。府警が不正競争防止法違反容疑で2020年10月に書類送検し、大阪地検が今年3月に在宅起訴していた。尚、男性は、懲戒解雇の後、一時期、中国の通信機器大手に再就職している。男性は、今年6月の初公判で起訴内容を認めた。
日本人もこうしたSNS上のスパイ活動の標的になっている以上、日本政府も企業も経済安全保障対策の強化が求められる。万が一、騙された社員が機密情報を持ち出そうとしても食い止められるよう、情報へのアクセス権の厳重な管理、データ損失防止などのサイバーセキュリティ対策が不可欠である。MI5の啓発動画で紹介されているような主な手口をサイバーセキュリティ研修で紹介するのも、有効であろう。
----------
松原実穂子(まつばら・みほこ)
NTT チーフ・サイバーセキュリティ・ストラテジスト
早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。
----------