Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

人が一番弱いが強くもなる

Gizmodoの少し古い記事を見つけました。面白い内容でしたので一読されては如何でしょうか?

www.gizmodo.jp

 

情報セキュリティの中で、一番の弱点は常に人間です。世界一強固なセキュリティシステムであっても、たった一人の従業員が会社のコンピュータに悪質なデバイスを繋いでしまったり、あるいは、見知らぬ人の為に、本来なら社員証が必要なドアを開けてしまうだけでも破られてしまいます。

 

テスターの一人は、清掃員にトイレを使わせてくれるよう懇願して50ドルを渡すことで、強固に守られたビルに侵入しました。トイレを出た彼は、誰にも見られることなくサーバールームに入り、機材を「盗んだ」後に裏口からこっそり抜け出したのです。言うまでもなく、これが本当の侵入であったら、この会社はとんでもないことになっていたでしょう。

 

また、とある大手銀行での仕事の際は、数分と経たずに銀行のシステムを支配してしまいました。銀行の重役は、すでに他の会社にネットワークのスキャンを何度も依頼していたため、驚きを隠せなかったそうです。スキャンが見逃していたのは、リモートデスクトップのシステムが、ユーザ名、パスワード共に「admin」だったことでした。この銀行はセキュリティに何百万円相当の金額をかけていましたが、数人のハッカーによって、コーヒーを淹れる程度の時間で全てのシステムを乗っ取られてしまったのです。

(Gizmodo記事より引用)

 

◆キタきつねの所感

個人的に一番怖いなと感じているのがソーシャルエンジニアリングと高度な攻撃ツールを組み合わせたような古くて新しい攻撃です。GIZMODOの記事にある事例は、『自分のところでは起こらない・・・』と思っているような組織であっても、人の脆弱性を突く攻撃であるので、うまくすり抜けられてしまう可能性は、まだまだあると思います。

例えば去年末に、JALが被害を受けたビジネスメール詐欺(BEC)も、こうした組み合わせの例と言えるかも知れません。

Gizmodoの最初の例で言えば、清掃員を騙して重要施設に入り込む手法。例えばこのケースが若い女性であったらどうなるか、例えばカラーコピーで偽造したID証を持っていたらどうなるか、例えば実際に清掃員の会社に派遣として入り込んだらどうなるか・・・・とシュミレートしていくと、意外に抜け穴が残っているかも知れません。

2番目の例、リモートデスクトップが「admin」「administrator」であったり、ベンダーが設定した初期IDとパスワードがそのまま使われている例は、重要な機器と言われるカメラでも、危ない現状が多数見つかっている訳ですから、貴方の組織のシステム管理者が膨大な機器の管理で、「IDやPass管理の手を抜いている」可能性が無いと誰が言い切れるでしょうか?

foxsecurity.hatenablog.com

 

記事では、ホワイトハッカーの侵入手法が書かれている訳ですが、物理的に施設に侵入するのではなく、これが例えば電話やメールのルートを考えると、、、やはり人はハッキングされてしまう可能性を残している。古くて新しい手法のソーシャル・エンジニアリングを使った攻撃を成功させないように、セキュリティツールだけでなく人に対する自衛策(教育)にも予算を使うべきではないでしょうか。

 

 

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

 

  

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

 

 

電脳空間に飛び込んだ人のイラスト(棒人間)

 

更新履歴

  • 2018年7月15日PM(予約投稿)