ケビン・パトリック・マロリーは米軍に勤務し、米国国務省外交保安局の特別捜査官として働き、その後CIA事件担当官として勤務し、防衛請負業者と協力したり米軍の現役派遣に携わるため世界中に駐在することが多かった。

彼は極秘の機密許可を取得しており、中国語に堪能でした。彼はまた、中華人民共和国 (PRC) の工作員に情報を渡したとして、スパイ行為の罪でも有罪判決を受けました。

マロリーとエージェントは最初どのようにつながりましたか? LinkedIn 経由で、マイケル・ヤンと呼ばれる工作員が中国のシンクタンクである上海社会科学院の代表を装ってマロリーに連絡を取り、面会を要求した。

マロリーは結局、8つの機密文書を持って上海に向かい、会議中にヤンとその上司に渡した。マロリーが米国に帰国すると、二次捜索と事情聴取のために米国税関国境警備局（CBP）に拘留された。

インタビュー中、マロリーは仕事で上海に旅行し、いじめ防止と家族の安全開発について相談するために教会を通じて知り合った人物と会ったと主張した。彼はまた、CBP からのフォームで、米国または外貨で 10,000 ドルを超えて持ち歩いていないことを確認した。

しかし、CBPはマロリーの所持品を捜索したところ、機内持ち込み手荷物の中に16,000ドルを発見した。その後、FBIはマロリー氏に事情聴取した。マロリー氏は、中国人の採用担当者からソーシャルメディアで連絡を受け、その採用担当者の顧客と電話で面談し、採用担当者の上司と会うために2回上海に行ったと職員らに語った。

マロリーは最終的に逮捕、起訴され、配達共謀、配達未遂、外国政府支援のための防衛情報配達、重大な虚偽陳述の罪で有罪判決を受けた。 

「この裁判は米国の国家安全保障に対する深刻な脅威を浮き彫りにしている」とFBIワシントン現地事務所担当次長ナンシー・マクナマラ氏は声明で述べた。 「外国の情報機関は、元米国政府の機密保持者をスカウトして私たちの機密を盗むためにターゲットにしています。」

米国国家防諜安全センター所長のウィリアム・エヴァニナ氏は、2018 年の夏に録音を行い、彼と米国諜報機関が LinkedIn で見ていたものについて話し合った。

ロイターとのインタビューで、エヴァニナ氏は、中国が政府機密や商業機密にアクセスできるアメリカ人を募集するために、一度に数千人のLinkedIn会員を標的にするキャンペーンを実施していると説明した。

エヴァニナは、米国諜報機関がこれらの募集アカウントをいくつ発見したか、あるいは中国がそれらを利用してどれほどの成功を収めたかについては言及を避けた。 

個人や組織はソーシャル メディアを使用して政府機密や企業の知的財産をユーザーのターゲットにしていますが、LinkedIn はソーシャル エンジニアリングにとって特に魅力的だと、LookingGlass Cyber Solutions のカスタマー サポート グループ副社長の James Carnall 氏は述べています。

「ソーシャル エンジニアリングのレバーが何であるかを考えてみると、権威、感情、または論理に訴えていることになります」と彼は説明します。 「このプラットフォームは、感情的な方法で多くのことに訴えかけます。私たちは自分が重要であると感じたいので、上司とつながりたいのです。コミュニティについて話すとき、私たちは人々を集めて、賢くて賢いと思われたいのです。」

悪意のある攻撃者は、出会い系サイトを使用する場合と同じように、LinkedIn をハニーポット攻撃に使用して、感謝されているという感情や、誰かとつながりを持ってビジネスやアクセス レベルに関する情報を入手したいという感情にアピールすることができます。

これは、調査および企業情報会社であるインターフォー・インターナショナルの社長であるドン・アビブCPP、PCI、PSP氏が言う戦術であり、他の人が自分の企業顧客に対して使用しているのを目撃していると述べている。 

「本質的に分析すると、LinkedIn の利用は、会社が生計のために行うものであれば何でも、ソーシャル メディアを利用して詐欺や機密情報の盗難を企てようとするもう 1 つの試みです」とアビブ氏は言います。 「私たちは、こうした攻撃の被害に遭っているフォーチュン 500 企業に勤めています…そして目標は、誰がなぜ手を差し伸べているのかを解明することです。」

スパイ行為以外にも、悪意のある攻撃者が LinkedIn 上の個人をターゲットにする最も一般的な理由の 1 つは、企業の財務プロトコルや手順に関する詳細情報を入手して、CEO や CFO のなりすまし攻撃を実行できるようにすることです。

たとえば、詐欺師は会社の財務部門のさまざまな人物と連絡を取り、電信送金の開始責任者が誰なのか、その人物がいつ出張しているのかを把握しようとするかもしれません。

アビブ自身が、インターフォーの従業員と顧客にこれがどのように機能するかを教えるためのテストを設定しました。彼は LinkedIn 上に自分自身の偽のプロフィールを作成し、他の個人とつながり、そのアカウントで旅行計画を共有しました。

アビブが偽の旅行に出発した直後、詐欺師がアビブから来たように見える怒りの電子メールをインターフォアの財務責任者に送信しました。このメールには、会社のベンダーに関する情報、支払いを要求する請求書、取引に使用する変更された電信送金コードが含まれていました。

アビブ氏は、同様の電子メールを受信した企業から月におよそ 6 ～ 7 件のリクエストがあり、誰が詐欺を永続させているのか、またそれをどのように防ぐのかを調べていると述べています。 

この種の詐欺は、米国や欧州とは対照的に、アジア太平洋地域でもより蔓延しており、アビブ氏によると、CEOやCFOのなりすましに対する意識が高まっているという。

「この件はかなり世間に知られるようになり、多くのコンプライアンス部門がこれに注目しています」とアビブ氏は言います。 「アジアでは、人口統計上の違いがあります。下位レベルの従業員は、その取引命令に従わないことを非常に嫌がります。」

セキュリティ管理この問題について話し合うために LinkedIn に連絡しましたが、同社はインタビューを拒否しました。代わりに、広報担当者のアン・トラパッソ氏は、信頼の醸成、偽アカウントの検出、スパム、不適切な投稿、虐待的なコンテンツの報告に関する同社のブログ投稿を 3 件以上送信しました。

「LinkedIn を利用しているときは、現実の人々と話していること、安全だと感じていること、専門的に関連したコンテンツに取り組んでいることを知りたいと思うでしょう」と、LinkedIn の製品管理、信頼、セキュリティ担当ディレクターであるマドゥ グプタ氏は、エヴァニナ氏の発言後の投稿で述べています。 「これを実現する最も重要な方法の 1 つは、LinkedIn エクスペリエンスをコントロールできるようにすることです。接続リクエストを受け入れるかどうかの決定から、プロフィールへの連絡先情報の表示に至るまで、LinkedIn でのやり取りをコントロールすることができます。」

この管理には、LinkedIn 上で自分自身を表現する方法 (プロフィールの内容、投稿内容、この情報を誰が閲覧できるか) を決定することと、つながりのコミュニティを精査することが含まれるとグプタ氏は説明しました。

「これらの機能の例には、メッセージを受信できる相手を指定するフィルターや、接続要求を承認、拒否、または無視できる招待コントロールが含まれます。」

TrackTik セキュリティ業界担当副社長、CPP のマーク フォルマー氏は、約 10 年前にネットワークに参加した熱心なソーシャル メディアと LinkedIn ユーザーです。

彼はプロフィールで多くの個人情報を共有していませんが、電話番号と主な仕事用メールアドレスを公開しています。フォルマー氏はまた、他の LinkedIn ユーザーから彼がいわゆる「怪しい」接続リクエストを定期的に受け取ります。

「それは常に起こります。標準的なパーソナライズされたメッセージはなく、x、y、または z からの招待だけで、接続が 1 つであるか、共通の接続がまったくありません。」とフォルマー氏は言います。 

プロフィールが偽物である可能性があるその他の兆候としては、TrackTik が事業を行っていない国に拠点を置く人物からの接続リクエスト、不完全なプロフィール、一般的なビジネス市場と一致しないように見える肩書き、または雇用履歴が飛び交っている人物などがあります。

「あまりにも良い話だとしても、完璧な関係になりそうな人が、なぜルーマニアから私に手紙を送ってくるのでしょう？」フォルマー氏は言う。 「なぜ彼らは私とのつながりに興味を持っているのですか？」

代わりに、同じ業界にいる人、共通のつながりを持つ人、カジノサイト インターナショナルの会員である人、または接続リクエストに個人的なメッセージを含める人たちとつながる可能性が高いとフォルマー氏は言います。

「誰か、特にまだ会ったことのない人に連絡を取るときは、招待状に何らかの背景を含めるようにしています。たとえば、『この人たちは私たちの共通の人物です。認定資格があるとか、あなたがこれについて書いているのを見たので会いたいです』とフォルマー氏は説明します。 「これは、私が本物の人間であり、あなたに何かを売ったり、あなたから何かを搾取しようとしたりするつもりはないと言う私の方法です。」

これらは従うべき良いルールであり、カーナル氏もアビブ氏も、雇用主は LinkedIn の衛生管理に関するベスト プラクティスについて従業員と話し合って、従業員と会社が悪意のある人物の標的にされるのを防ぐ必要があると述べています。

たとえば、カーナル氏は、ソーシャル メディアで秘密プロジェクトについて話し合ったり、予算額について投稿したりすることを禁止するガイドラインを作成することを提案しています。

「犯罪の観点から見ると、人々がソーシャル エンジニアリングを行うには多すぎる情報が提供されます」と彼は言います。 

また、従業員が会社を脆弱にする可能性のある情報をオンラインに投稿している場合、セキュリティと人事は従業員と話し合って、それを教育の機会にすべきだとカーナル氏は言います。 

「人事部は、新入社員の新人研修の一環としてソーシャル メディアに関する会話を組み込む必要があります」と彼は付け加えます。 「組織が従業員と協力することが重要です。個人として自分自身を誇りに思うことと、従業員と会社が行っている仕事を他の人に宣伝することのバランスが重要です。」

LinkedIn には不審なアクティビティや偽のユーザー アカウントを報告するプロセスがあり、悪意のあるユーザーが本物のユーザーを装っていることが確認できればうまく機能するとカーナル氏は言います。

また、彼は、幹部などの目に見える人々が、自分の名前でソーシャル メディア サービス上に正規のアカウントを作成してその名前を主張することを推奨しています。また、あなたがユーザーである場合、「サイトにアクションを起こさせるほうがずっと簡単だからです。」

そして、すべての接続要求には一定レベルの懐疑心を持って取り組むべきだとアビブは言います。

「彼らのプロフィールを見て、なぜあなたに連絡を取っているのかを尋ねてください。メッセージ機能を通じて喜んで尋ねてください。」と彼は付け加えました。 「あなたがそれに挑戦すると、彼らは去ってしまうかもしれません。そして、あなたに話しかけてくる人々は、彼らが悪事を企んでいるかどうかを知ることができるでしょう。」