昨日は、"情報セキュリティ" に関し、昨今急増している "サイバー(標的型)攻撃" を警戒すべき現状について書いた。だが、この脅威以前に、先ずは当然のごとく警戒すべき事柄を想起すべきかと思われる。いわば "情報セキュリティ" 構築の原点とも言われるものである。
いわゆる "ソーシャルエンジニアリング攻撃" と呼ばれる "古くて新しい" アプローチに対して、聡明に対処して行くという対策のことなのである。
直近の実情では、以下のような報道もあるため要注意である。
―――― <企業の半数近くがソーシャルエンジニアリング攻撃を経験
イスラエルCheck Point Software Technologiesが米国時間2011年9月21日にまとめた調査結果によると、企業の48%は過去2年間で25回以上、ソーシャルエンジニアリング攻撃を受けている。セキュリティ侵害1件あたりの損害額は2万5000ドルから10万ドル以上に上る。
IT専門職およびセキュリティ専門職の86%は、ソーシャルエンジニアリングの危険性を認識していた。ソーシャルエンジニアリング攻撃の動機として最も考えられるのは「金銭を手に入れるため」(51%)で、続いて「企業秘密を入手するため」(46%)、「競合他社より優位に立つため」(40%)、「報復のため」(14%)が挙げられた。
ソーシャルエンジニアリングの手口としては「フィッシングメール」(47%)が最もよく使われる。個人情報が公開されている「SNSサイト」(39%)や、セキュリティ保護が不十分な「モバイルデバイス」(12%)も悪用されやすい。
また、ソーシャルエンジニアリングのワナに陥る危険性が最も高いと懸念されるのは、企業のセキュリティポリシーがあまり身についていない「新規採用された社員」(60%)と「契約社員」(44%)だった。>
( 企業の半数近くがソーシャルエンジニアリング攻撃を経験/ITPro/2011.09.22 )
ところで、一頃は関心が向けられた "ソーシャルエンジニアリング攻撃" という言葉であるが、"サイバー攻撃" という過激な言葉の影に隠れてしまった観があるので、以下のようにおさらいをしておくべきかと思う。
―――― <ソーシャルエンジニアリング
原語は、"social-engineering"であり、「社会工学」(社会工学的攻撃)と訳されることもある。 セキュリティ用語
情報を仕入れるために、話術や身なりなどで人を信用させ、人を騙すこと。いわゆるハッキングの一種。ターゲットに自らスパイウェアをインストールさせるなどの合わせ技にも用いられる。
伝説のクラッカー、ケビン・ミトニックが好んで使った手法として有名。彼は、攻撃相手の企業のゴミ箱から電話帳を拾って、その電話帳をもとにソーシャルエンジニアリングを仕掛けたりした。
派生技術に、ゴミ箱をあさるトラッシング、肩越しに相手の入力するパスワードを盗み見るショルダーハッキングなどがある。
振り込め詐欺もソーシャルエンジニアリングの一手法である。
この言葉が転じて、ネットコミュニティでは、住所氏名などの個人情報を突き止めることを「ソーシャル」「ソシャる(動詞)」と呼ぶようになった。>( はてなキーワード/ソーシャルエンジニアリング )
なお以下は、かなり以前の記事となるが、再読の価値があると思われる。
―――― <ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説
かつて世界で最も有名なクラッカーと呼ばれたケビン・ミトニック氏が来日し、19日午後、都内にて開催されたNPO法人・日本ITイノベーション協会(JITA)主催の「情報セキュリティ勉強会」で講演した。
......
今回の「情報セキュリティ勉強会」のテーマは、「日本における情報セキュリティのグローバル・スタンダード化を考える」。ミトニック氏は、現実に世界中で起こっている脅威という視点から「The Art of Deception(騙しの技)」と題して、いわゆるソーシャルエンジニアリング攻撃について、実体験に基づく具体的な事例を挙げながら、易しく解説した。ミトニック氏によれば、ソーシャルエンジニアリング攻撃は、ソフトウェアの脆弱性を悪用した攻撃などに比べて、「OSに依存しない」「ログに残らない」「費用がほとんどかからない」などの理由から、リスクが低く、しかも成功率の高い、簡単かつ有効な攻撃手法であるとしている。
講演の中でミトニック氏は、ソーシャルエンジニアリング攻撃が有効であることを示す実験として、ロンドンのある駅で、通行人に「ボールペンをあげるのでパスワードを教えてほしい」とお願いしたところ、10人中9人がパスワードを教えてくれたことを紹介した。ほかにも、生年月日や専攻、大学名、母親の旧姓などの個人情報を記入するアンケートに回答したら芝居のチケットをプレゼントするといった場合も、9割が素直に回答してしまったそうである。
このような手法にひっかかってしまう人たちについてミトニック氏は、
1)自分だけは騙されるようなバカではないという幻想を抱いている
2)人は何となく他人を信じやすいものである
3)セキュリティの手続きに従うのは時間の無駄と思っている
4)情報の価値を過小評価している
5)人は他人 (同僚) を助けたい気持ちを持っているものである
6)自らの行動がもたらす結果をわかっていない
としている。つまり、言い換えれば誰でもひっかかってしまう可能性があり、それだけ成功率が高いということができる。また、特に同僚を助ける立場にあるヘルプデスク担当者が狙われる可能性が高いことも指摘している。さらに、ソーシャルエンジニアリング攻撃によるセキュリティ侵害を防ぐ方法として企業に必要なものとして、
1)上級管理職の参画 (必須)
2)具体的な事例を挙げての啓発
3)社員が自らの問題と意識して参画できる仕組みの確立
4)何が機密情報であり、行動指針となるかを定義する単純なルールの整備
(ヒューリスティック=発見的問題解決)
5)「No」を代わりに言ってくれる仕組みの導入
を挙げた。5)の例として、なかなか「No」と言いにくい人情を鑑みて、代わりに着信を拒否してくれる「装置」が紹介された。最後にミトニック氏は、情報セキュリティに必要なものとして、ソーシャルエンジニアリング攻撃の脅威に対する理解と不断の警戒、さらに自社の社員に対するソーシャルエンジニアリング攻撃を実際に行なってみる「侵入テスト」の必要性などを挙げた。......>
( ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説/INTERNET Watch/2008.05.20 )
"情報セキュリティ" に関して "サイバー(標的型)攻撃" などが話題となると、とかくそれらばかりに注意が向けられがちとなりそうだ。そこにまた、ハッカーたちが眼を付ける "古くて新しい" エアポケットが生まれないとは限らない...... (2011.09.25)
コメントする