5月24日、アズジェントは「進化する標的型攻撃。ヒューマンハッキングの実態」と題したセミナーを開催した。ソーシャルエンジニアリングの第一人者が講演や質疑応答で最新動向を説明するほか、マシンを乗っ取るデモを見せるなど、刺激的なイベントであった。
標的型攻撃の背景にソーシャルエンジニアリングあり
今回セミナーのテーマとなった「ソーシャルエンジニアリング」は、人間の心理的な弱点を用いて、情報や金銭を詐取する手法だ。たとえば、メールの文面を読ませて、特定のURLをクリックさせたり、電話でIDやパスワードを聞き出すなど、心理的な操作により、効率的に情報を収集する。標的型攻撃を効率的に行なうために組み込まれることが多く、今後のセキュリティ対策の大きなテーマとなる。
こうしたセミナーを開催した背景について、アズジェントのコンサルティング担当部長 兼セキュリティセンターフェローである駒瀬彰彦氏は、「サイバー攻撃の技術的な内容は日々情報は報道されているが、その背後にソーシャルエンジニアリング的な手法があり、すでにいろいろな情報が搾取されていることはあまり明らかにされていない」と説明。サイバー攻撃の背景にあるソーシャルエンジニアリングについて、ユーザーに啓蒙するのが目的だと述べた。
アズジェント コンサルティング担当部長 兼セキュリティセンターフェロー 駒瀬彰彦氏
では、ソーシャルエンジニアリングとはなにか? ソーシャルエンジニアリングのプロフェッショナルであるクリストファー・ハドナジー氏は、「本人が望むか望まないかを問わず、人を操って行為を起こさせること」と定義した。
部下を適切な指導を行なったり、子供を教育するために用いられるポジティブなソーシャルエンジニアリングもあるが、ネガティブな方向で用いられた場合は、コンピューター攻撃に使う情報を収集するのに使われる。実際、シティバンクやソニー、アマゾンなどをターゲットとした攻撃では、ソーシャルエンジニアリングが大きな役割を果たしており、特に金融機関と決済システムはよく狙われるという。
電話で情報を聞き出す手口が増えている
ハドナジー氏によると、ソーシャルエンジニアリングで用いられる手法としては、メールによるフィッシング、電話による詐欺、なりすましなどが挙げられるという。このうち、電話による詐欺は昨年に比べて30%も増加しているという。
ソーシャルエンジニアリングに詳しいクリストファー・ハドナジー氏
ハドナジー氏が紹介したのは、日本で起こった東日本大震災に便乗した米国での詐欺事例だ。犯罪者はそのサイトを震災後8時間で立ち上げ、震災での安否情報を探すという目的で、名前や住所、電話番号などを収集したという。犯罪者は次の日には女性に電話をかけさせ、「自身も親類を亡くしました」というような話で、相手を信頼させ、少額の寄付を求める。さらに3日目には銀行の担当者を装った男性が電話をかけ、初日に登録した情報を確認したという。テロや自然災害のたびにこうした詐欺が起こっており、ひっかかってしまう人が後を絶たないとのこと。ここでのポイントは、「個人情報や社会番号があれば、ローンを申し込んだり、銀行口座を開設できる」(ハドナジー氏)とのことで、金銭ではなく、あくまで情報の収集を目的にしている点だ。
「テールゲート」と呼ばれるなりすましも増えている。ここでいうなりすましは、サイバースペースではなく、リアル環境での話。ハドナジー氏は、「米国では、UPSのような茶色のシャツと着て、荷物を持っていけば、どんなビルでもすぐに入れた」と語る。また、ハドナジー氏によると、ゴミ回収を担当すると誰も話しかけられず、オフィス内で作業しても怪しまれない。安価なプリンターで精密な社員証を作れるので、オフィスに入るのも簡単だという。
なりすましは意外と容易に行なえる
安価なプリンターで精密な社員証が作れる
駒瀬氏によると、こうしたソーシャルエンジニアリングの手口は、情報収集や質問の仕方、あるいは役作り、心理学の利用まで非常に体系化されており、効率的に情報を得られるようになっているとのこと。また、技術も進化しており、隠しカメラ、盗聴器、スマートフォンに搭載されているGPSなどのハードウェアのほか、メールやPDF、サイトの偽装を構築するツールや送信元や発信電話番号の偽装、パスワードクラックなどソフトウェアも充実している状況だ。
では、なぜこうしたソーシャルエンジニアリングが流行するのか? ハドナジー氏によると、その理由はシンプルで、簡単だから。「最近のセキュリティ製品は実に優れているので、侵入が難しくなっている。しかし、ソーシャルエンジニアリングであれば、ファイアウォールを気にしないでよい。電話一本あれば、情報にアクセスできる」(ハドナジー氏)と語る。
ソーシャルエンジニアリングが流行るのは、簡単だから
(次ページ、チョコレートと交換でパスワード)
