Twitter大規模ハッキングから考えるソーシャルエンジニアリングの恐怖

人が標的になるソーシャルエンジニアリングの恐ろしさ

 企業などのネットワークに侵入する攻撃は、コンピューターシステムの脆弱性を利用するものだけではない。人間という脆弱性を利用するものがある。後者はソーシャルエンジニアリングと呼ばれており、古典的な詐欺やスパイ活動の延長だと言える。  総務省の「国民のための情報セキュリティサイト」の「ソーシャルエンジニアリングの対策」のページを見てみよう。  まず筆頭に挙げられているのが「電話でパスワードを聞き出す」だ。利用者や管理者の振りをして、重要な情報を聞き出すというのは、多くの場合有効な方法だ。  こうしたソーシャルエンジニアリングに近いことは、普通の人もよくおこなっている。営業電話で、目的の部署や人の連絡先を聞き出す手法とよく似ている。人間は、割りとあっさりと情報を伝えてしまったりするものだ。  次に挙げられているのが「肩越しにキー入力を見る(ショルダハッキング)」だ。パスワードやクレジットカード番号を入力する様子を、肩越しに見る攻撃手法だ。ATMのパスワード入力を覗き見る行為の、IT版だ。  「ごみ箱を漁る(トラッシング)」のも、非常に古典的な方法だ。ゴミは情報の宝庫だ。社内名簿が手に入れば、その社員の振りをして攻撃できる。また、社内の組織図が手に入れば、部署間の関係を想像して、それらしい会話を組み立てることができる。配備されている機器から、攻撃の計画を立てることも可能だ。強引なところでは、シュレッダーの紙から情報を復元することも、根気があれば可能だろう。  上記のページには載っていないが、さらに大胆な手法としては「構内侵入」もある。やり方はいろいろある。偽造したり、密かに入手したりしたIDカードで侵入する。他人のあとに付いて建物に入る。他の用で来たついでに違う部署に行く。清掃業者や回収業者の振りをする。  入り口は厳しく管理していても、内部は杜撰な組織は多い。一度中に入ってしまえば、いくらでも建物内を移動できたりする。

「人間という脆弱性」を防ぐのは難しい

 IDやパスワードを厳格に管理していても、その運用は人間がおこなう。そして、組織には多くの場合、イレギュラーや緊急時の、特別なルートがあったりする。  会社によっては、全業務を自社でおこなうのではなく、社外に仕事の一部を出していたりする。世界中に拠点があり、連絡を取りあいながら仕事をしていることもある。  攻撃者は、情報システムだけでなく、その利用者を狙う。自分がスパイになったつもりで、組織をどうやったら操れるか考えてみよう。「買収する」「ハニートラップを仕掛ける」といった、大昔からある手法で突破できるかもしれない。セキュリティの甘いところに潜り込み、内部からじっくりと攻めるという方法を使えるかもしれない。  セキュリティは、防御側はあらゆる対策を考えなければならないが、攻撃側は一箇所の穴を見つければそれで済む。人間は、頻繁に入れ替わるし、替わらなくても刻々と状況が変化する。  外部からの攻撃に対策を取るのは当然として、起きた時に素早く動ける体制を作るのも大切だ。  大手のIT企業が攻撃を受けた際、どれだけ迅速に対応して報告を出してくるのか、IT業界の多くの人は注目している。 <文/柳井政和>
やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。
1
2
PC_middleRec_left
PC_middleRec_right
関連記事
PC_fotterRec_left
PC_foterRec_right