チョコレートと交換でパスワード
セミナーの後半は、「世界でもっとも有名なハッカー」とも呼ばれるケビン・ミトニック氏が米国からのビデオ会議システム経由で登壇し、デモを交えて、ソーシャルエンジニアリングの手法や対策について説明した。
世界でもっとも有名なハッカーとも呼ばれるケビン・ミトニック氏
ソーシャルエンジニアリングの成功率は99.5%ときわめて高いが、基本的な手法は長らく変わらないという。ソーシャルエンジニアリングではメールやWebなどのアプリケーションを介することなく、ターゲットに電話したり、時には直接会社に侵入し、必要な情報を取得する。ミトニック氏は、「真の問題はユーザーだ。人間的な側面が一番弱い」と述べる。あるイギリスの会社では、イースターエッグのチョコレートと交換で、7割の人がパスワードを教えてくれたとのこと。「マルウェアと異なり、特定のOSに依存しないし、防御装置を破る必要もない。メールや電話番号だけで使え、オーディオなのでログがとられない」(ミトニック氏)。
ターゲットは社内のあらゆる業種に渡る。たとえば、情報システム部の担当者であれば、インターネットやSNSなどを調べ、取引先の業者を調べる。攻撃の成否は情報収集が鍵を握るわけだが、その点、会社組織や部署などの情報はオープンにされており、個人の行動や嗜好はSNSで公開されている。「SNSは宝の山だ」(ミトニック氏)。こうした情報収集の結果、その企業がシスコ製品を使っているのであれば、シスコのサポート担当を装って、メールを送ってPDFを開かせる。ゼロデイの脆弱性であれば、その段階で不正なコードがロードされてしまうわけだ。
また、ヘルプデスクであれば、エンドユーザーのふりをしてパスワードリセットを手伝ってほしいと電話をかける。本人確認の手法はある程度共通なので、従業員になりすまして業務システムへのパスワードを探すのは容易。「特に電話は直接かかってきたら断りにくいし、急かされると適切な判断に使える時間がない」(ミトニック氏)とのこと。
ソーシャルエンジアリングを容易にするツールも洗練されつつある。ネットワーク経由で拡がるマルウェアはもちろん、オフラインで用いられるUSBメモリや「Pocket Phisherman」と呼ばれる情報収集用Wi-Fiルーターもある。ミトニック氏は、USBメモリを別のPCに挿入し、遠隔から操作する例をデモンストレーションし、キーストロークを取得したり、カメラで撮影した。まさにやりたい放題。アンチウイルスソフトが最新の状態でも、こうした不正アクセスに無力であることを実践して見せた。
別のPCを不正に操作し、デスクトップを表示
マシンの遠隔操作を可能にするUSBメモリ
また、ミトニック氏は、「100%合法な手法で、企業のメタデータを収集できる」と述べ、昨晩調べたという日本の大手通信事業者のソフトウェアやOS、ユーザー名などを披露した。さらに、電話で問い合わせることで、携帯電話のソフトウェアコードを入手したという過去の成功例や、自動応答システムとのセッションにマン・イン・ザ・ミドル攻撃をかけ、クレジットカード番号などを取得するといった事例を紹介。適切な情報収集を行ない、ターゲットの弱点をつかめば、必要な情報を容易に入手できると警鐘を鳴らした。
ヒューマンファイアウォールを構築せよ
では、こうしたソーシャルエンジニアリングに対抗して行くにはどうすればよいか? ミトニック氏は、「テクノロジーだけではダメだ。疑いを持つよう、文化が変わらなければならない」と語る。そのため、ソーシャルエンジニアリングのテストを抜き打ちで行なって、組織的な脆弱点を明確にしたり、詐欺にひっかからないためのわかりやすいハンドブックを作る方法が挙げられるとした。また、ドキュメントの閲覧にはGoogle QuickViewを使うとか、パスワードリセットはIVRなどを用いて自動化するなどテクノロジーを駆使するのも重要だという。こうした地道な教化により、“ヒューマンファイアウォール”が実現でき、ソーシャルエンジニアリングへの耐性が高い組織になるとのこと。
ヒューマンファイアウォールを構築する
ミトニック氏は、「弱点がすぐに直るような手法はないし、そもそも人間の弱さを解消するのは難しい。時間をかけてでも、ユーザーに啓蒙していくしかない」と述べ、「Educate,Train,and Inoculate(教育、トレーニング、植え付け)」という3つのアクションがいますぐ必要だと説明し、講演を締めた。
