情報セキュリティ大学院大学名誉教授の内田先生の記事を読んで、改めてソーシャルエンジニアリングについて勉強しないといけないと思いました。
diamond.jp
キタきつねの所感
近年全世界で猛威を振るっている「ランサムウェア(2重脅迫)」は攻撃対象の選定、あるいは嫌らしい”公開”や”暴露の漏えい”手法など、ソーシャルエンジニアリングのリメイク(焼き直し)とも思える脅迫手口を日々進化させています。
日本で最も成功したソーシャルエンジニアリング手法は、社会現象化まで至った「振り込め詐欺」かと思いますが、古典的ともいえる「人の脆弱性」を狙った攻撃は、形を変えてサイバー攻撃でも応用されています。
ソーシャルエンジニアリングを、内田先生は以下の様に定義しています。
人間の心理的な弱さを利用、また、他人になりすまし、必要な情報を収集(盗み見、盗取、ヒアリング)するもので、いくつかの方法を組み合わせる、また複数の人や方法、場所等で情報収集を行うこともある。ソーシャルエンジニアリングの考えは、犯罪に利用されるだけでなく、医者、弁護士、コンサルタント等、多くの職種の人が利用する。
映画などで出てくる”詐欺師”のイメージを頭の中で思い出してみると上記の定義がぴったりである事が分かるかと思いますが、実際に「振り込め詐欺」でも、犯行グループが老人家庭に現金を取りに行く=対面型だけでなく、電話でガイドしながら被害者にATMで不正入金をさせる=非対面型も大きな被害を出しています。
ソーシャルエンジニアリング手法は、必ずしも悪い事ばかりに使われる訳ではなく、優秀な営業には大きな武器となるでしょうし、上記の定義の様に医者や弁護士などが「上手な誘導尋問」として使う際にも有効な手法でもあります。
記事では、いくつかの事件に紐づけてソーシャルエンジニアリング手法が書かれていますが、中でも気になったのがハッカーの誘導尋問事例です。
(2)プロフェッショナル(ハッカー)の利用
前回、「ヒューマンエラー」を解説する中でも述べたが、1994年11月に米国ワシントンDCで開催されたセキュリティの国際会議CSI(Computer Security Institute)の夜間の特別セッション「Meet the Enemy(ハッカーと語ろう)」で、誘導質問術が使われた。
セッションの途中、一人のハッカーは割り込んできた電話会社のオペレータとの自然な会話で、オペレータのユーザIDとパスワードを聞き出した。 ハッカーは非常にリラックスして会話をしており、オペレータを退出させた。その後、約80人の参加者(セキュリティ関係者)は、ハッカーの巧みな会話術(誘導質問術)に盛大な拍手をした。
(Diamond Online記事より引用)
1994年の事だから流石に関連記事はないだろうな・・と思いながら調べてみると、ありました。
米国セキュリティ事情(Computer Security Instituteに参加して)
7.米国セキュリティ事情(ハッカーとの接近遭遇:2)
話をしている最中に電話会社のオペレータが割り込んできた。ハッカー「私の名前はXXXX、システムサポートの人間です。・・・・ 何かうまく行っていない様だが・・・。 ちょっと操作してみて! なんてやりとりをしていたが、オペレータの操作はあまり慣れていないようだ。ちょっとこちらでやってみようか? 最初にXXを入力して、エンター・・・、ユーザIDは? OK! パスワードは、XXXXです。OK、XXXXだね。・・・・
なんて会話をしながらものの見事にユーザID/パスワードを聞き出してしまった。
これを聞いていた会場のCSIメンバーの全員が、ハッカーの話術の素晴らしさに思わず拍手をしていました。
驚くべき事に、”今でも通用しそうな”会話な気がします。
似たような、と言うと語弊があるかも知れませんが、システムサポートを装ったフィッシング(+電話)もたまにインシデント記事に出てきますし、マルウェアを検知したので「アンチウィルスソフトウェアを購入してください」といった自作自演の攻撃や、もっと言えば、古くからありますが「ポルノ閲覧」代金の不正請求といったメール(SMS)攻撃も、未だ現役かと思います。
これらは全て、人の脆弱性を狙った攻撃(≒ソーシャルエンジニアリング手法)が、現代風にアレンジされたものと考える事も出来るのではないでしょうか。
し同じ1994年の「Meet the Enemy(ハッカーと語ろう)」を取り上げた記事がもう1つありました。
www.atmarkit.co.jp
こちらは内田先生の記事で引用されている、社会心理学者ロバート・チャルディーニの名著「影響力の武器」を取り上げて、人間の6つの特性の影響によって誘導尋問術(ソーシャルエンジニアリング)が成功するとまとめています。
1.返報性:
人から親切や贈り物、招待などを受けると、それを与えてくれた人にお返しをせずにはいられない特性
2.コミットメントと一貫性:
自分の意志でとった行動が、その後の行動に一定の拘束をもたらすという特性。以下の三つの手法がある
ローボールテクニック:
最初にある事柄を決めさせるが、後に決定した事柄が実現不可能であることを示し、代わりに最初の決定より高度な要求を認めさせる。例えば、バーゲンの目玉商品を宣伝しておいて、客がそれを購入しようとすると、「残念ながらその商品は売り切れてしまいました。ただ、少し高価にはなりますが同じような商品がございます」、などと言ってより高額な商品を購入させる
ドア・イン・ザ・フェイス テクニック:
最初に実現不可能な要求を行い、相手を対応できない状況に追い込んだ後で最初の要求よりも負担の軽い要求をし、後者を実現させる
フット・イン・ザ・ドア テクニック:
最初に誰も断らないようなごく軽い依頼を行い、続けざまに次のより重い要求の承諾を得る。例えば、最初に簡単な署名を依頼し、その後、より時間のかかる調査に協力してもらう
3.社会的証明:
他人の考えにより、自分が正しいかどうかを判断する特性
4.好意:
好意を持っている人から頼まれると、承諾してしまう特性
5.権威:
企業・組織の上司など、権威を持つ者の命令に従ってしまう特性
6.希少性:
入手し難い物であるほど貴重なものに思え、手に入れたくなってしまう特性
(@IT記事より引用)
表面的には、これらの人の脆弱性については分かっていたつもりではあるものの、人間の心理的側面から、なぜ人間が騙される(騙されやすい)のか、改めて学び直す必要性を実感しています。
最近個人的に興味を惹くワードとして「Human Firewall(人によるファイアウォール)」というものがあります。
参考:
it.impress.co.jp
ファイアウォールやウイルス/マルウェア検出ツール、あるいは脅威インテリジェンスツール。いずれも今日の企業情報セキュリティの手法として広く使われているが、これらで防御するのには自ずと限界がある。技術的な手段に加えて、従業員のセキュリティ意識を向上させ、怪しいメールや人物に適切に対応できるようにしなければならないのは明らかだ。いわば「Human Firewall=人によるファイアウォール」である──。
(IT Leaders記事より引用)
「Human Firewall」の定義は定まってないと思いますが、教育(セキュリティ啓蒙)やアセスメントの重要性を説明する上で、よく使われている気がします。
私は「Human Firewall」を、
『最も脆弱であり、最も強固なセキュリティ対策になり得るのが”人”』
と咀嚼(意訳)しているのですが、 単に最新のセキュリティ機器、ソリューションを導入しても、それを利用する人が脆弱であれば、インシデントリスクは高いという事を、日本企業ももっと真剣に考えるべきだと思います。
そして、そうした教育(啓蒙)に重要なのが、人の脆弱性をよく知る事、なのだと思います。
少し古い本ですが、参考になりそうなソーシャルエンジニアリング関係の本2冊をご紹介します。
余談です。
ソーシャルエンジニアリング・・という訳ではありませんが、世界一のスリとして名高いアポロ・ロビンスの「話術」(とスリのテクニック)も一見の価値があると思いますので、TEDの映像を貼っておきます。
www.ted.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
