自分だけは大丈夫は厳禁です！

「ソーシャルエンジニアリング」ってどんな技術？

2009年12月02日 06時00分更新

文● 遠藤哲

組織を利用して情報を入手する

　攻撃者が、電話などで直接会話する機会のない組織内の高いポスト、または他部署の上司になりすまして、重要かつ緊急の事態であることを告げ、威圧的な態度で「パスワードを忘れてしまった。いますぐ必要なので教えてほしい」といってきたら、電話を受けた人間はどういう行動をとるだろう。

　頭の中では、「パスワードを教えるべきではない」と繰り返し思い浮かんでいるだろうが、その一方で、ここで相手の意に添わない行動をとることが正しいのか葛藤の末、パスワードを教えることになるだろう。

　これは一般的な組織において「権限を持つ上司が命令し、部下は上司の命令を遂行する」という日々行なわれている行動と、少し過激ないい方だが、「上司は部下に対して生殺与奪の権限をもっている」ことが自然と部下に「上司の命令を遂行しなければならない」という意識を強く働かせ、正常な判断にふたをしてしまうのである。電話による上司を装ったなりすましは、このような部下の心理を狙った手口である。

　すると、社内のセキュリティにおける行動規定に、「上司から電話でパスワードなどの重要情報を聞かれても、その場で教えてはいけない。」と書いているので、読んでいればそのような行動をとることはないという反論が聞こえそうだ。しかし、行動規定をいくら文書にしたところでそれだけでは効果がない。なぜなら、部下は上司のいうこと（命令）を断ることに慣れておらず、上司も部下に断られることに慣れていない。文書化された正しい行動を頭では理解できても、感情的な面で受け入れられるかは別である。なりすましでなかった場合に正しい行動をとったために感情的なしこりを残し、それが業務に悪影響をあたえることもある。

　この例はソーシャルエンジニアリングの対策の難しさをあらわしている。解決方法としては上司・部下ともに、行動規定に添った行動を実地に訓練し、感情的な面でも受け入れられるようにすることが考えられる。

ソーシャルエンジニアリングのIT化

　さて、ソーシャルエンジニアリングをネットワークやコンピュータの知識を使わない単純な手口ということで説明してきた。実はこのように説明することで新たな心理的なスキを生んでいる。すでにソーシャルエンジニアリングのIT化したような手口が登場しており、実際に被害が発生している。

　それが「ワンクリック詐欺」や「フィッシング」である。

　ワンクリック詐欺とは、アダルトサイトや出会い系サイトなどから送られてくるスパムメールに記載されたURLをクリックすると、会員登録画面があらわれ料金を請求されるというものだ。IPアドレスや住んでいる地域が表示されたりするので、怖くなって支払いに応じてしまう人を狙った詐欺である。より悪質なワンクリック詐欺では、「利用するためには専用のプレーヤが必要」として、個人情報を盗むスパイウェアを仕込んだソフトをダウンロードさせるものまで登場している。

　もう1つのフィッシングでは、銀行やクレジット会社を装ったメールを送信して、本物そっくりの偽サイトに誘導し、オンラインバンキングやクレジットカードを利用するための情報を盗むという詐欺の手口である。最新のWebブラウザにはフィッシング対策として、疑わしいサイトかどうか表示してくれるので幾分安心できるようになってきている。

　しかし、その安心を覆すあらたな脅威として最近報じられているのが「DNSキャッシュポイズニング」がある。これはDNSサーバの動作を悪用して偽サイトの情報をDNSサーバに覚えさせ、偽サイトのIPアドレスをクライアントに回答させるという攻撃である。利用者は正しいURLを入力しており、正規のDNSサーバから回答を得るため、偽サイトに誘導されていることに気づかない。これは「ファーミング（pharming）」と呼ばれる手口に分類される。古くはクライアントPCのhostsファイルを書き換えて偽サイトへ誘導するというものがあったが、DNSキャッシュポイズニングはファーミングの進化版といえるだろう。

DNSサーバの情報を書き換えるDNSキャッシュポイズニング

「自分だけは大丈夫」がスキを生む

　ソーシャルエンジニアリングとはどのようなものか説明してきた。人の心理や社会的な仕組みを巧みに利用したものだが、手口としては単純なもので、電話を使ったなりすましは「振り込め詐欺」と変わらない。しかしどういうわけか成功率が高い。「自分だけは大丈夫」という油断がソーシャルエンジニアリングを成功させるスキを生んでいることを肝に銘じておかなければならない。

前へ 1 2 次へ

ツイートする

カテゴリートップへ