セキュリティ組織の米SANS Instituteは2007年11月21日、組織のネットワーク構成や、利用しているセキュリティシステムなどを聞き出そうとする怪しいメールが報告されたとして注意を呼びかけた。
報告されたメールは、大学のネットワーク管理者などを対象にしたもの。メールには、以下のような内容が英語で書かれていたという。
「私は、ガザ・イスラム大学(IUG)のコンピューターエンジニアです。最近、IUGのネットワークが不正侵入されてしまいました。そのため、ネットワークのセキュリティシステムを再構築しているのですが、私にはその経験がほとんどありません。そこで参考までに、あなたの大学のネットワークセキュリティシステムの構成図やフローチャートなどをいただけませんでしょうか」。
SANS Instituteでは、このメールは「ソーシャルエンジニアリング」を目的とした偽メールと判断。ソーシャルエンジニアリングとは、心理的に引っ掛かりやすいトリックや巧みな言葉で、ユーザーをだまして情報や重要なデータを収集すること。
攻撃者にとっては、「ネットワークに不正侵入して調べるよりも、ネットワークに関する情報を(管理者などから)聞き出してしまった方が早い」(SANS InstituteのスタッフであるJoel Esler氏)ため、今回のようなメールを送信していると考えられる。
「現在出回っている迷惑メールやフィッシング詐欺などは、(今回のメールのような)ソーシャルエンジニアリング的な手法を駆使して、危険性を認識していないユーザーをだまそうとしている。ユーザーは、十分注意する必要がある」(Esler氏)。
