Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

古くて新しい人間の脆弱性

PwCの「セキュリティ新時代」の記事は勉強になりますが、この記事は特に共感ポイントが多かった内容でした。

www.pwc.com

 

PwC 寄稿記事 

 

これらの人間の脆弱性をつくサイバー攻撃は一般的にソーシャルエンジニアリング」と言われ、昔から攻撃者が利用する古典的な手法である。最近では、ビジネスメール詐欺(BEC=ビジネス・Eメール・コンプロマイズ)という新用語で呼ばれ、世界的に大きな被害をもたらしている。

「重要な取引先が言うのだから(権威)」「長年苦楽を共にしたメーカーの担当者が言うのであれば(好意)」など、このような人間の脆弱性はテクノロジーが今後いかに発展しようとも解消はされないだろう

取引先に確認すれば簡単に回避可能だと考える方もいるかもしれない。しかし、取引先にこのようなことを確認することは、自社のセキュリティー対策が十分でなかったことを暗に伝えることにならないだろうか。こうした心理まで攻撃者は計算していることも考えられる。

PWC寄稿記事より引用)

 

◆キタきつねの所感

比較的短い寄稿記事なのですが、人の脆弱性とハッキング技術が組み合わされて攻撃が成功しているのが、最近の大型事件の特徴と私は感じています。ソーシャルエンジニアリングで言えば、昨年末のJALの巨額詐欺(BEC)事件が有名ですが、積水ハウスが被害を受けた、いわゆる「地面師」の詐欺事件ソーシャルエンジニアリングの手法がかなり使われています

mainichi.jp

人を騙す部分においては、こうした成功してしまった犯罪のテクニックが応用されて、また違う大きな事件が発生するのが詐欺事件の傾向ではありますが、肝心の人を騙す部分、普遍性があるのか、古くて新しいセキュリティの話題としてみると、色々と見えてくるものがある気がしています。

 

※メディアがかなり注目して事件情報が続々と出てきているので、機会あれば、ソーシャルエンジニアリングの観点で分析してみたいと思います。

 

 

ソーシャルエンジニアリングについて、色々な本が出ています。この本は、PwC記事でも取り上げられていますが良書だと思います。ケビン・ミトニック氏を知らない人もいるかも知れませんが、攻撃側の視点を見るという意味では勉強になります。

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

 

 

ですが、ケビン・ミトニックは伝説のハッカーと呼ばれる位の”天才”なので、私はこちら本の方がしっくりきました。ご参考まで。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

 

 

誤爆のイラスト

 

更新履歴

  • 2018年10月21日PM(予約投稿)