デジタル空間には、警戒モードになりやすい場所と、油断しやすい場所があります。企業メールは入館ゲートのようなもので、見慣れない差出人には慎重になり、怪しい添付ファイルにも目が向きます。一方でメッセージアプリは休憩室の雑談スペースに近く、慣れた相手が並ぶ分、警戒心が下がりがちです。だからこそ、攻撃者はいまそこを狙っています。
The Hacker Newsは、WhatsAppを介して拡散するワーム型のAndroidマルウェアが確認されたと報じました。端末が感染すると、受信したメッセージに対してマルウェアが自動返信し、不正リンクを相手に送信します。そのリンクは「新機能」や「アップデート」を装うことが多いとされています。たとえば友人から「今夜空いてる?」と連絡が来たとき、感染した端末が勝手に「いいね!でもその前に、新しいWhatsAppの動画機能を見て」といった文面とリンクを返します。
このような手口に惑わされるのは被害者が「判断力に欠けている」からではありません。行動科学で「コンテキスト・コラプス(文脈の崩壊)」と呼ばれる特性を、攻撃者が巧みに突いているからです。
コンテキスト・コラプスとは、WhatsAppのようなプラットフォーム上で、家族、友人、上司、取引先など、関係性の異なる相手が1つの画面に集まってしまう状態を指します。
Danah Boydなどのリサーチャーの研究でも示されているように、人は本来、相手に応じて話し方や距離感、警戒の度合いを切り替える傾向があります。母親に話すときとCEOに話すときでは、同じ内容でも対応が変わるはずです。ところがデジタルの「休憩室」では、その切り替えがうまく働きません。その結果、本来なら警戒して扱うべき依頼やリンクを家族や友人に向ける信頼の水準で受け入れてしまいます。
多くの組織はメールセキュリティに大きな投資をしてきました。それでも攻撃者は、別の入り口を見つけ、警備が薄い場所を狙います。
また、英国や米国ではWhatsAppを私的なツールと捉える人が多い一方、地域によっては業務連絡の主要チャネルとして使われています。南米、アジア、アフリカの広い範囲で、顧客対応、仕入れ先との交渉、社内の連絡などがWhatsApp上で行われ、即時性や相手との距離感から企業メールより信頼される場面もあると報告されています。
これは、休憩室がそのまま会議室も兼ねている状況で、認証情報を窃取し、2要素認証(2FA)のSMSコードを傍受するワームが広がれば、企業にとって大きな脅威になります。
では、私たちに何ができるのでしょうか。
まず必要なのは、重要な業務がチャットアプリ上で行われている現実を認識することです。シャドーITを現場の問題で終わらせず、経営課題として捉え、何がどこで使われているのかを整理する必要があります。
次に、トレーニングを変えることです。メール訓練を行っても、攻撃者が狙う場所はそこに限りません。不審なWhatsAppメッセージ、Teamsでの違和感のある依頼、LinkedInでの不自然なリクエストなど、チャットを使った攻撃の具体例も使い、従業員の判断力を高める必要があります。
さらに、別の連絡手段での確認を当たり前にすることです。チャット上で金銭、ダウンロード、認証情報に関わる「いつもと違う依頼」が来た場合は、必ず別の経路で真偽を確かめます。これを組織として標準にします。確認が面倒だと省略されやすくなるため、別経路で確認しやすい導線を整えることも欠かせません。
コンテキスト・コラプスは、非常に危険な手口です。母親、友人、上司が同じ画面に並ぶと、直感がうまく働かない瞬間が生まれます。ただし、これを解決するための答えは、ツールを禁止することではありません。WhatsApp、Teams、LinkedInを業務用のプラットフォームとして扱い、怪しい内容は別の連絡手段での確認を当たり前にしましょう。セキュリティは不審なメールを見抜くことだけではなく、「この依頼は筋が通っているか」「別の場所で確認したか」と立ち止まる習慣をつけることでもあります。
原典:Javvad Malik著 2025年11月27日発信 https://blog.knowbe4.com/blurred-chats-bigger-risks