先日の名和さんから聞いた話のメモが残っていたのでもう少しご紹介。
www.nhk.or.jp
・機微な情報を持つ、標的型攻撃の対象となる方は、SNSでの情報発信は攻撃の際に使われるので気をつけた方が良い。
・PTA、子供の情報、写真・・SNSで発信された情報をAIが分析し攻撃情報として使う。特に写真は気をつけた方が良い。
・標的型攻撃の手法。相手を信じ込ませてからひっかける。
・趣味がゴルフだとすると、その場に誘導し、異性が待ち構える。ひっかかるのは、ほとんど男性。マタハリ攻撃。
・情報のハブとなる所、例えば人事部。仕事が多忙、その隙をついて攻撃する。電話・Facebook・社内ポータルを乗っ取って近づく手法も。
・Hotなのはオンラインゲーム。チャット見ると色々分かる。
◆キタきつねの所感
自分のメモから起こしているので、少し分かりにくいかも知れません。もう少し具体的な事件事例の侵入手口なども講演では話してらっしゃいましたが、内容は伏せるべきかと思うので、ソーシャルエンジニアリングの部分と、最近注目すべき分野して、オンラインゲームの部分だけを気づきとして挙げておきます。
SNSの話は、名和さんが日々取り組まれている国家関係(あるいは重要インフラ)のレイヤーだけでなく、今後一般化される攻撃になり得る気がします。昨年ビジネス詐欺メールで、昨年末にJAL等が被害を受けましたが、人をひっかける(ソーシャルエンジニアリング)部分に、ビックデータとAIを活用してくると、より本物らしいビジネスメールが来たり、水のみ場に誘導された事も気づかないかも知れません。あるいは、分析された情報を元にしたハニートラップ・・・経営陣がひっかかっただけで大きな影響を受けるかも知れません。
そうした意味では、ハリウッド(スパイ)映画の世界が実現しつつある、名和さんは、そう警鐘を鳴らしていたと言えるのかも知れません。
講演後に直接お話を伺った際にも少し聞いたのですが、観光客がカシャっと日本で名和さんの写真を撮ったら、それが外国のサイトで写真と場所が緋付けられてUPされていたという例示(おそらく本当の話でしょう・・・)で話されていました。
顔認証(AI)でDB(ビックデータ)照合をかけて、タグ付けする。シンプルですが、これが潜在的に攻撃対象となる方すべてで行われた場合、どこで誰が何をしていた、、、という事まで攻撃型に筒抜けになってしまいます。情報が蓄積されることによって、様々な攻撃に対するデータ活用が考えられます。
以前書いたこの記事を思い出しました。犯罪調査・・・という名目とは違うところで、中国だったり、米国は情報を集めている、そう考えても良い気がします。
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
普通の人は、情報を収集されることに抵抗感が無いかも知れませんが、Facebookの情報漏えい事件の様に、最終的なターゲットに繋がっているのが、自分なのかも知れないと考えると、自分の情報を自分でコントロールできない、こうした国家的な動きについては注意を払うべきかも知れません。
攻撃する際の対象。ハブとなる人=忙しい人・・・有能が故に仕事が集中し、その結果として注意力が散漫になる。攻撃者はそれを知っている訳です。IT部門(防衛)が深夜・休日に手薄になる事と似ているかも知れません。残念ながらそうした防衛側の実情を、攻撃側はよく知っている訳です。
だとすれば・・・そうしたハブとなる人(部門)に対する手当てを企業側が行わない(予算・人・技術を与えない)事は、将来のセキュリティインシデントに繋がってしまう不作為となりかねません。名和さんは、そうした懸念が顕在化しつつあると言っていたように感じました。
最後はオンラインゲーム。射幸心を煽るような課金アイテム、アバター等のデータ自体の販売、RMT・・・セキュリティの脆弱性を常に突かれている業界である事は理解していましたが、ゲームの仮想空間内だけの問題ではなくなりつつあり、例えば人のアカウントを乗っ取るために、外部の個人情報を収集して(自分のためにまず活用=悪用し)、活用し終わったら(関係が無いデータを)DeepWebで販売(公開)する。
今までの犯罪の行動パターンとは違うので、この話を聞いてもピンと来ませんでした。オンラインゲームをやってない多くの方もそうかも知れません。こうした動き・・・オンラインゲームのチャットを追いかけるとよく分かるそうです。いろいろな所にアンテナを張れないと、講演の中で一番考えさせられた話題でした。
更新履歴
