あなたはある企業の幹部の独身男性。LinkedInで偶然知り合ったMia Ashという女性は、プロフィール写真を見ると29歳くらいの美女だ。ロンドン大学を出て、写真スタジオで働いていたフォトグラファーで、ロマンスの相手を探している。

あなたもカメラが好きなので、写真についての会話が始まる。Facebookのアカウントも交換し、話題は次第に仕事のことから趣味や旅行のことにも広がっていく。

あなたは徐々にMiaに惹かれていく。FacebookやLinkedInで見る彼女の経歴ははっきりしていて、出身地も出身大学も、職歴も明白。独立して写真家としてのキャリアを積んでいる。外見も知的でセクシー。まだ、直接会ったことはないけれど、彼女は恋の相手として申し分ない。

やがて彼女から添付ファイル付きのメッセージが送られてくるだろう。これをクリックすれば、あなたのパソコンはマルウェアに感染する。リモートアクセスが可能な状態になってしまうから、知らぬ間に誰かがあなたのPCに侵入し、企業秘密をこっそり抜き取って行ってしまう。

実は「彼女」は実在の人物ではない。アメリカやインド、サウジアラビアやイスラエルの、エネルギー、IT、航空機業界などの重役が、その餌食になっている。ターゲットとなった企業の一つのセキュリティシステムが、被害者のパソコンからマルウェアを発見したことで発覚した。使用されたマルウェアから、犯人はイランのハッカー集団、COBALT GYPSYではないかと言われている。

怪しい送信元から送られた電子メールの添付ファイルは開いてはならないというセキュリティ教育は世界中で実践されている。しかし、怪しいと思っていない相手から、写真を見てとか、ここについて教えてとかいう依頼とともに送られたら、開かずに捨てるのは難しいだろう。しかも相手は、何ヶ月もかけて次第に仲良くなった美女なのだ。

SNS時代のハニートラップとも言えそうだが、Mia Ashの場合、いわゆる色仕掛けで弱みを握って脅迫してくるわけではないから、仮想的な恋の相手は、彼女に好意を抱いたまま、セキュリティホールとして存在し続ける。

もし、ネットで素敵な誰かと知り合って、実際に会ったことがないまま仲良くなっていたら、添付ファイルを開く前に相手の素性を疑った方が良いのかもしれない。

【参照情報】
・The Curious Case of Mia Ash: Fake Persona Lures Middle Eastern Targets
・APT GROUP USES CATFISH TECHNIQUE TO ENSNARE VICTIMS
・Why Social Media Users Should Never Lower Their Guard