騙しのテクニック(ソーシャルエンジニアリング)
騙しのテクニック(ソーシャルエンジニアリング)
サイバー攻撃やサイバー犯罪と言えば、多くの人は、いわゆる「ハッカー」がコンピュータに向かっている姿や、コンピュータウイルス感染などを想像しがちです。たしかに、それらは「サイバー」の本質なのかもしれませんが、実は、こうした攻撃や犯罪を成功させるために必要な要素が他にもあるのです。
たとえば、機密情報を盗み出すためにサイバー攻撃を行うとして、相手の何をどう攻撃すればいいのかを知る事が極めて重要です。やみくもに攻撃を行っても失敗することが多い上、相手に気付かれて、防御を固められたり、反撃(通報)されたりする可能性が高いからです。
コンピュータウイルス(マルウエア)は、昨今のサイバー攻撃で中心的な役割をはたしますが、ウイルス対策の普及や、メールなどによる感染リスクの周知によって、これらを目的の組織やコンピュータに送り込むことへのハードルも次第に高まりつつあります。たとえウイルス対策ソフトを回避するマルウエアを作れても、それを感染させるためにひと工夫、ふた工夫必要になるわけです。
こうした攻撃のための情報収集や、攻撃対象の従業員にマルウエアを開かせるためには、IT技術つまり、いわゆる「サイバー」以外の要素も重要になります。
たとえば、機密情報を盗み出すためにサイバー攻撃を行うとして、相手の何をどう攻撃すればいいのかを知る事が極めて重要です。やみくもに攻撃を行っても失敗することが多い上、相手に気付かれて、防御を固められたり、反撃(通報)されたりする可能性が高いからです。
コンピュータウイルス(マルウエア)は、昨今のサイバー攻撃で中心的な役割をはたしますが、ウイルス対策の普及や、メールなどによる感染リスクの周知によって、これらを目的の組織やコンピュータに送り込むことへのハードルも次第に高まりつつあります。たとえウイルス対策ソフトを回避するマルウエアを作れても、それを感染させるためにひと工夫、ふた工夫必要になるわけです。
こうした攻撃のための情報収集や、攻撃対象の従業員にマルウエアを開かせるためには、IT技術つまり、いわゆる「サイバー」以外の要素も重要になります。
サイバー攻撃の事前情報収集(OSINT、HUMINT)
サイバー攻撃の事前情報収集は、公開情報を収集することから始まります。現代では、検索エンジンなどを使用することで、様々な公開情報が、(場合によっては非公開情報までもが)収集できます。(これをオープンソースインテリジェンス:OSINTと呼びます)しかし、これらをもってしても、守りの堅い組織へのサイバー攻撃は簡単ではありません。より価値の高い情報を得るには、その組織の従業者など「人」へのアプローチが必要となります。たとえ、重要な情報を扱える人でなかったとしても、積極的には公開されていない組織内の様子を知ることが出来れば、その情報をもとに、たとえばマルウエアを送り込むべき部署や対象者、使われているセキュリティソフトの種類といった情報を得ることができます。(これをヒューマンインテリジェンス:HUMINTと呼びます)
こうした情報は、従業員が集まる飲食店や飲み屋、カフェなどで聞き耳を立てれば得られることがあります。こうした場では部署名や、個人名といった情報もよく飛び交います。2時間ほどグラスを傾けながら聞き耳を立てているだけで、様々な情報が得られるはずです。
こうした情報は、従業員が集まる飲食店や飲み屋、カフェなどで聞き耳を立てれば得られることがあります。こうした場では部署名や、個人名といった情報もよく飛び交います。2時間ほどグラスを傾けながら聞き耳を立てているだけで、様々な情報が得られるはずです。
より積極的な方法は、そうした「関係者」とお近づきになって、それとなく情報を聞き出すことです。たとえば、飲みながら、「最近、うちの会社セキュリティが厳しくて困るんですよ」・・・といった話題を振って、組織のセキュリティ対策の状況を聞き出す・・というようなやりかたです。これは一種の誘導尋問です。うまくいけば、使っているセキュリティソフトや、社員に周知されている対策等あれこれ聞き出すことができるかもしれません。まさに、旧来からの産業スパイや詐欺師が使う手法ですが、これはほんの一例です。こうした心理を利用したアナログな手法を、一般にソーシャルエンジニアリングと呼びます。
心理面での技術(欺術)
心理面での技術(欺術といった方がいいかもしれません)は、たとえばマルウエアを送り込むためのメールなどにも利用されます。相手に警戒心を持たせないためには、興味を持たせる(もしくは信用させる)きっかけとなるキーワードをちりばめ、その上で考える時間を与えないことが重要です。「緊急」「至急」といったタイトル付けは常套手段ですし、また、取引先、顧客や上位の役職者を騙って、すこし不機嫌なタッチの文面も、組織の文化によっては極めて有効です。IT部門や総務部門、場合によっては法務、経理といった部署を騙ったメールも効果があるかもしれません。こうした手法もまた、古典的な詐欺の手口に通じます。先に述べたような情報収集は、どの手法が最も効果があるかを知るためのヒントになります。
マルウエアの送り込みは、メールだけとは限りません。たとえば、取引先を装って、データを入れたと称するUSBメモリを送りつけるといった方法も考えられます。自動起動でマルウエアに感染する仕組みにしていれば、USBメモリをPCに挿した瞬間にマルウエア感染が発生する可能性も生じます。感染ファイルを開かせるのであれば、開いてみたくなるようなファイル名をつけておきます。
会社のエントランスにUSBメモリを落としておくのも有効かもしれません。誰かが拾って、興味本位に自分のPCに挿すことも考えられます。また、マルウエアを送り込みたい部署の名前を書いておくのもいいでしょう。
会社のエントランスにUSBメモリを落としておくのも有効かもしれません。誰かが拾って、興味本位に自分のPCに挿すことも考えられます。また、マルウエアを送り込みたい部署の名前を書いておくのもいいでしょう。
「高度な攻撃」と 「アナログな手法」
このように、サイバー攻撃の切り口は、それが高度な攻撃であればあるほど、逆にアナログであることも多いのです。伝説のハッカーと言われるケビン・ミトニックも、技術だけではなく、こうしたソーシャルエンジニアリング手法を駆使して様々な相手を攻略したと言われます。その後、彼は、こうした心理的なテクニックと、それらからの防御について教える活動を続けています。有名な著書である The Arts of Deception (日本語訳名「欺術」ISBN 978-4797321586)には、実際に発生した様々な事例や対策の考え方が記されています。)
このような「人」に対する攻撃にも、気付くべきポイントはあります。ただ、相手の術中にはまり、冷静さを失ってしまえば、チャンスは失われてしまいます。とりわけ、高度な相手から攻撃を受ける可能性がある組織においては、こうしたソーシャルエンジニアリングに対する耐性も養っておく必要があります。理想的には、すべての従業者が心の備えをすべきですが、それは難しいことではありません。まず、そのような攻撃を自分も受ける可能性があることを知ってもらうことが重要です。
このような「人」に対する攻撃にも、気付くべきポイントはあります。ただ、相手の術中にはまり、冷静さを失ってしまえば、チャンスは失われてしまいます。とりわけ、高度な相手から攻撃を受ける可能性がある組織においては、こうしたソーシャルエンジニアリングに対する耐性も養っておく必要があります。理想的には、すべての従業者が心の備えをすべきですが、それは難しいことではありません。まず、そのような攻撃を自分も受ける可能性があることを知ってもらうことが重要です。
疑心暗鬼になる必要はありませんが、見知らぬ相手や、違和感を覚える相手に対して、少しだけ慎重になることが重要なのです。それだけで、知らない人の口車に簡単には乗せられなくなるでしょう。
もちろん一流の詐欺師は狡猾ですから、それでも欺(だま)される可能性は少なくありません。ですが、後で冷静になった時、思い出して違和感を覚えて、上司や同僚などに相談することができれば、それだけでも価値はあります。
もちろん一流の詐欺師は狡猾ですから、それでも欺(だま)される可能性は少なくありません。ですが、後で冷静になった時、思い出して違和感を覚えて、上司や同僚などに相談することができれば、それだけでも価値はあります。
違和感を大切にし、少し考える習慣をつける
いわゆる標的型メール訓練は、メールにおける心理的な攻撃を知り、耐性をつけることに役立ちます。これらも、実際に近い手口を知る事で、ちょっとした違和感を大切にし、開く前に少し考える習慣をつけることが重要なのです。
サイバー攻撃は、いまや、旧来からある様々な犯罪や不正行為を行う者にとっても重要な手段となっています。一方で、彼らが旧来から使ってきたアナログな手法もまた、形を変えながら生き残っているのです。ネットを介しての仕事や生活が一般的になっている現在、リアル同様に、注意が必要でしょう。
サイバー攻撃は、いまや、旧来からある様々な犯罪や不正行為を行う者にとっても重要な手段となっています。一方で、彼らが旧来から使ってきたアナログな手法もまた、形を変えながら生き残っているのです。ネットを介しての仕事や生活が一般的になっている現在、リアル同様に、注意が必要でしょう。
