Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。

wired.jp

ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,500万件以上のクレジットカード番号を盗んでいる。


2017年3月27日ごろ、高級ハンバーガーレストラン「レッドロビン」の従業員に電子メールが届いた。送り主は「ray.donovan84@yahoo.com」で、最近経験したことについて苦情があるという。詳細は添付ファイルに収めてあるから開けてくれと書いてあったので、従業員はファイルを開けた

それから数日で、Fin7はレッドロビンの内部ネットワークの“地図”をつくり上げた。さらに1週間のうちに、POSシステムの管理ツールにアクセスするユーザー名とパスワードを入手した。

 

(Wired記事より引用)

 

◆キタきつねの所感

ここ数年、米国のレストランチェーンにおけるPOS情報が狙われている印象が強いのですが、Fin7の侵入手口の記事を読んで、背景が分かった気がします。

逮捕された3人はレッドロビンの件に加えて9件で訴追の対象となっており、基本的には同じ手口が使われている。最初は、まったく無害のように見える電子メールから始まるホテルに予約を希望するメールや、ケータリング会社に注文を入れるメールなどだ。常に添付ファイルがついているわけではない。一般客が質問や心配事でメールを送るときと同じだ。

最初のメールで添付ファイルをつけない場合は、何度かやりとりをしてから詳しい情報は添付したワードファイルかリッチテキストファイルに記したと書いてくる。ターゲットがそれを開かない場合や、そのメールを受けとる前には電話をかけ、開けるように促す

(Wired記事より引用)

この手法は、ソーシャルエンジニアリングの技術を効果的に使ったソーシャルハッキング」と言っても良いかと思います。

 

ソーシャルハッキングとは - はてなキーワード

 

人の脆弱性を突く攻撃は、日本だと振り込め詐欺が良く知られていますが、ソーシャルエンジニアリングサイバー攻撃マルウェア)を組み合わせた攻撃は、今後日本でも増えてくるのは間違いありません。

Fin7の攻撃手法は英語圏でしかすぐには手法コピーができないと思いますが、既に”成功事例”が出ているので日本語の環境に応じた攻撃に変化する可能性は高いと思います。

また、マルウェアによる内部ネットワーク侵害だけでなく、派生攻撃としてビジネスメール詐欺(BEC)にも使えるのが怖い所です。

 

ソーシャルハッキングの攻撃を考えた時に、例えば日本の企業のクレーム処理担当は、残念ながら同様の攻撃で添付ファイルを開いてしまう可能性は高いと思われます。

運よくアンチウィルスソフトやその他のセキュリティ対策で添付ファイルに仕込まれた不正ソフト(マルウェア)を検知できれば良いのですが、防御網を潜り抜けるマルウェアを踏んでしまった場合、同じように内部ネットワークに入り込まれ、POSデータ(クレジットカードデータ)は無かったとしても、個人情報であったり、企業の重要情報が窃取されてしまうことは十分に考えられます。

ソーシャルエンジニアリング手法は古くからあるので、教育である程度カバーできますが、人の脆弱性は普遍的であり、「人間は間違いを犯す」のが当然ともいえるのでリスク軽減は図れても、根本原因が消える事はない気がします。

近い将来AIによるセキュリティ防御が発達・普及すればこうしたリスクは劇的に減るのでしょうが、それまでの間は、既存のセキュリティ対策によるリスク軽減で耐えしのぐか、外部と接するメールやWebと、内部ネットワークを分離する(インターネット分離)事を本格的に考えるしか無いのかも知れません。

 

 

 

外食のイラスト(軽減税率)

 

 

更新履歴

  • 2018年8月26日AM(予約投稿)