「企業を狙うサイバー攻撃」は個人から始まる?
今年度もセキュリティ意識を高めるべく、エンジョイ&エキサイティングの精神で活動しているまかふぃーぶ。今回のテーマは以下。
<サイバーテロとUSBメモリーとソーシャルハッキング>
今回もマカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー佐々木伸彦氏にお話を伺った
この3つのワードは一般人の我々にも、とても強く関係している。カンタンに言ってしまえば、特定の企業や国家に対してアタックする際の第1目標が、その企業や国家を構成している個人狙いにシフトしているからだ。そのため以下の話は企業向けに見えてしまうが、一個人でも十分に可能性のある話と考えていただきたい。
昨年から続くグーグルやツイッターをはじめとする米国IT企業への相次ぐ不正アクセス事件について、アメリカ国防総省が名指しで中国を非難するなど、営利すら越えた国家組織レベルのハッキングが現実味を帯び始めた。アメリカ政府は海外からのサイバーテロをアルカイダ以上の脅威と位置づけているほどだ。
大げさだと思う読者は、“原子力発電所の制御機能をサイバーテロによって奪われた”なんて場合を想像してみれば、危険視する理由がわかるのではないだろうか。実際、2010年に中東で突如流行した「スタックスネット」なるウイルスは、イランの原子力施設をピンポイントにサイバー攻撃するための専用ウイルスだったと推測されている。
そして、それらの攻撃にまず晒されるのは個人である可能性が高い。
2013年5月には、日米間でサイバーテロ対策で包括協力する声明が発表されている
なのに、俺たちときたら無防備過ぎるだろ
しかし国内では、『自分や、勤めている会社に、某国組織がハッキングを仕掛けてくるなんてあり得ない。ハリウッド映画じゃあるまいし』などと思っている人が大半だろう。ところがマカフィー・サイバー戦略室の佐々木伸彦氏によると、映画ばりのスパイ合戦にアナタの会社が巻き込まれることは十分あり得るのだという。
その際に狙われるのは本社のサーバールーム……ではなく、トイレや会議室での、ちょっとした言動だ。我々の想像よりも身近に危険は潜んでいる。
アナタが大漏洩事件のきっかけを作ってしまうかも!?
意外と多いUSBメモリー経由の被害――罠と化す記憶媒体
USBメモリーは、いまや光学メディアを凌駕したと言ってよいほど、お手軽で持ち運びやすいデータストレージだ。間違いなく1人1個以上持っているし、ファイルの受け渡しが極端に楽になるため、業務に活用している人も多いだろう。
ところがマカフィー曰く、このUSBメモリーこそ、特定の企業を狙う場合によく使われる代物だという。
具体的には、テールゲート(入館時の共連れ)や業者になりすますなどして巧みに会社に侵入し、悪意あるプログラムを仕込んだUSBメモリーをトイレの個室などにわざと置いておき、そのUSBメモリーが社内のPCに挿し込まれることを意図する。
狙っているのはメールアドレスやログイン情報といった情報漏洩系であったり、ウイルスに感染させて、DDoS攻撃に利用されたり、他の組織への攻撃の踏み台になることもある。
まるで忘れ物のように放置されているUSBメモリーには、危険がいっぱいどころではない危険が詰まっていると思うべき
ものすごくアナログな手法だが『何が入ってるんだろう?』と気になってしまうものだし、『社内の誰かのUSBメモリーかも?』と確認を取りたくなってしまう心理を狙ったものだ(お財布を拾ったとき『誰のだろう?』と開けちゃう感覚というか)。
またトイレだけではなく、打ち合わせの際に意図的にUSBメモリーを忘れていくパターンもあるという。露骨に忘れるというよりは、掃除のときに気がつくようなところなど、いつのものかわからないようにすることが多いそうだが、会議室で発見した場合だとさらに警戒心なく、その場でUSBメモリーの中身をチェックしようとしてしまうだろう。
CD-RやSDカード類も同様だ
もちろんすでに対策を講じている企業も多いだろうが、なかなか耳を貸してくれない部署や世代もあると思う。なまじ目に見えない世界の話なので、理解されにくい。そんなわけで、抜き打ちチェックによさそうな方法を思いついて試してみた。やり方は次の通りである。
ASCII.jpで打ち合わせをしたときに、画像を入れたUSBメモリーを落としておいた。結果としては、下の写真の有様なのだが……このときは「標的型攻撃」という文字画像を入れておいた。まぁ拾った編集氏はショックだったそうだが、乙女の全裸は好き、でもセキュリティは完全防御のASCII.jpですら、この結果なので注意してほしい。
編註:マジ容赦ないチェックでした……
DDoS攻撃の踏み台にされると社会的によろしくない
DDoS攻撃は、ウイルス感染やクラッキングによって踏み台にされた不特定多数のPCからネットワーク上の通信量を増大させ、回線やサーバーの処理能力を専有することで、対象のシステムやネットワーク機器の誤動作・破壊を狙うもの。踏み台にされた場合は、真っ先に疑われるため、個人であれば国家権力のお世話になるし、企業の場合だと社会的信用が壊滅する。
もう1つ、DoS攻撃は特定箇所から特定箇所への攻撃のこと。目的はDDoS攻撃と同じだ。最近だと、中国から米国へのアタックが報じられた。DoS攻撃はアクセス元を遮断すれば解決可能だが、DDoS攻撃の場合は、経路が多岐にわたるため、大規模なものが行なわれると、防御は非常に難しいといわれている。
この連載の記事
-
第29回
デジタル
2013年セキュリティ事件を振り返る:日本を狙ったマルウェアで被害が続発 -
第28回
デジタル
7億円盗んだ「日本のオンラインバンキング専用」ウイルス -
第27回
デジタル
第6話:情報漏洩アプリを作ってもお咎めなし!? -
第25回
デジタル
第5話:スマホの中身を合法(?)的にゲットせよ!? -
第24回
デジタル
「黒子は俺の嫁」から超堅牢パスワードを作ってみた -
第23回
デジタル
オンラインゲーマーよ!6文字パスワードは17秒で破られる -
第22回
デジタル
第4話:ボットネットは変態ゾンビの夢を見るか? -
第21回
デジタル
第3話:JKのスマホがゾンビ化で世界がヤバイ -
第20回
デジタル
魔法少女(物理)見参!第2話「その名はマカルージュ」 -
第19回
デジタル
魔法少女も始めました!第1話「セキュリティ突破会議」 - この連載の一覧へ
