セキュリティに何億円もかけた大組織が、電話1本で突破された。それがマジソン・スクエア・ガーデン(MSG)で起きたことだ。
使われた手口は「声による騙し」
マジソン・スクエア・ガーデンといえば、ニューヨークにある世界的に有名な複合エンターテインメント施設だ。ニューヨーク・ニックス(NBA)の本拠地であり、コンサートや格闘技イベントが開催される場所でもある。
そのMSGから、45GB以上のデータが盗まれた。
手口はシンプルだった。ハッカーは下位の社員に電話をかけ、ITサポートや社内担当者を装い、「システムに問題があるので、ログイン情報を確認させてください」などと騙した。社員はそれを信じ、アクセスを許可した。こうして侵入は完了した。
この手口を「ビッシング(vishing)」と呼ぶ。Voice(声)+Phishing(フィッシング)の造語で、電話や音声通話を使った詐欺的侵入手法だ。メールのフィッシングは警戒している人でも、「電話できちんとした言葉遣いで話す相手」には油断しやすい。
盗まれた情報の中身
持ち出されたのは単なる業務ファイルではない。
- セレブのリスク評価:著名人を「Low Risk(低リスク)」「High Risk(高リスク)」に分類したリスト
- 元選手・コーチの連絡先:ニューヨーク・ニックスの過去の選手やコーチの個人情報
- 顧客メール:一般の顧客との通信記録
MSGはかねてから、顔認証技術を使って弁護士や活動家を施設に入場させないという強引なセキュリティ運用で批判を浴びてきた組織だ。外部への警戒は厳しいのに、内側は電話一本で崩れた。
「若くて英語がうまいから信じてしまう」
取材によると、今回のような電話を使ったハッキングは、若くてネイティブな英語を話す攻撃者によるものが目立つという。アクセントがなく、口調が自然であれば、怪しいと感じにくい。
テクノロジーが進化しても、人間の「話しかけられたら信じたい」という心理は変わらない。それが今も最大の突破口になっている。
これは対岸の火事ではない
大企業でもこれが起きる。というよりも、大企業だからこそ下位の社員が「怪しい電話でも上の人間の指示なら従うべき」と判断しやすい組織構造がある。
「電話番号を確認して折り返す」「パスワードを口頭で教えない」「不審な依頼は上司に確認する」——これらはIT部門向けのルールではなく、どんな職場でも誰もが知っておくべき話だ。最新のサイバー攻撃は、ハイテクよりも人間の隙を狙う。
