Zenn
😵‍💫

心理学を応用したソーシャルハッキングに危うく騙されかけた

に公開
attack
socialhack
idea

最近、周囲でソーシャルハック被害が立て続けに起きています。

プロジェクトの公式アカウントがスパムで埋まり、資金を抜き取られた例さえありました。

典型的には、微妙に綴りの違う “Zoom そっくり” の URL を踏ませてマルウェアに感染させる手口ですが、その巧妙さは日々アップデートされています。

注意喚起のため、私が実際に受け取った DM と対策を共有します。

尊敬する教授から DM が!

ある日、私が大尊敬している海外大学教授を名乗るアカウントから Telegram で Ph.D. 勧誘のメッセージが届きました。

アイコンも X(旧 Twitter)の ID も本物と一致していたため、一瞬信じかけました。

しかし冷静に考えると、教授がいきなり SNS で学生をスカウトするケースはほぼありません。

そこで本人の X へ DM を送り確認すると、やはり偽物でした。

返信はせず Telegram 公式に通報し、被害は未然に防げました。


ハッカーの巧妙さ

今回の攻撃で最も感心したのは、ターゲットの心理を突く設計です。

攻撃者は、私がXで一方的にフォローしている「雲の上の人物」になりすまし、絶妙なタイミング――国際学会から帰国する日――を狙って連絡してきました。

「自分の研究発表を見て連絡をくれたのかもしれない」という納得感から、思わず嬉しくなり、危うく返信しかけました。

人は承認欲求が満たされるとドーパミンが溢れ、疑念より喜びを優先しがちです。

これは専門家でも油断すると引っかかる罠だと痛感しました。

私が取った行動

被害を防げた最も大きな理由は、「別チャネルで裏を取ったこと」です。

教授の公式メールや X など、“あらかじめ信頼している連絡手段” で本人確認を行うだけで、ほとんどのなりすましは排除できます。

また、有名人フォローを公開状態にしていると攻撃リストに載りやすいため、尊敬する人物のアカウントは公開フォローを外し、非公開リストでチェックする運用に切り替えました。

どう対策すべきか

ハッカーは生成 AI、心理学、行動経済学を駆使し、個人情報を徹底的に悪用してきます。以下の対策を “習慣” として身につけましょう。

  1. 別チャネル確認
    怪しい DM やメールが来たら、電話・公式メール・企業 Slack など別ルートで本人確認。

  2. リンクは自分で発行
    ミーティングやドキュメント共有は必ず自分側から URL を送付し、相手から来たリンクはドメインを目視で検証。zoom.uszoon.us になっていないか要チェック。

  3. FIDO2 パスキー/ハードウェアキーを導入
    フィッシング耐性の高い多要素認証を必須化。SMS やメールコードのみの MFA は段階的に廃止。

  4. 長く一意なパスワード + マネージャ管理
    「使い回さず、長く、推測困難」が優先。またマルウェア感染したハッカーが何年も潜伏している可能性もあるため、主要SNSで使うパスワードは毎月変更することを推奨。

  5. OS・ブラウザ・会議アプリは自動更新
    既知脆弱性を塞ぐ最速手段。特にブラウザはゼロデイ狙いの攻撃が多い。

  6. 公開フォローの棚卸し
    有名人や経営者アカウントの公開フォローはターゲティング材料になる。必要なら非公開リストへ。

  7. 合言葉・思い出クイズ
    仲間内で “オフラインでしか共有していない情報” を合言葉として決め、緊急時の本人確認に使う。

  8. リンク・添付は開く前にスキャン
    ブラウザの隔離プロファイル、EDR のクラウドサンドボックスなどを活用する。

まとめ

今回、教授だったのでまだよかったものの、ハニートラップだったら疑うことなくアウトだったかもしれません。

私はセキュリティを専門にしているものの、毎日こういった攻撃には肝を冷やします。

今朝もウォレットの資産が0になる夢をみました。

みなさんもハッキングには気をつけてください。

Discussion