「ソーシャルエンジニアリング」の意味をご存じだろうか。耳にしたことはあるものの、意味までは知らないという方がほとんどではないだろうか。今回は、人の心のすきを突くソーシャルエンジニアリングへの心構えや対策を説明する。
不正をする方もされる方も、心の中に根本的な原因がある。
そして、その心の弱さを突いてくるのが“ソーシャルエンジニアリング”だ。情報セキュリティや内部統制で強固に守りを固めた組織でも、ソーシャルエンジニアリングに対する防衛知識がないと、いとも簡単に突破されてしまう。
今回は、防犯技術としても不可欠となるソーシャルエンジニアリングへの対抗策について考えてみたい。
他人のふりをしてパスワードを聞き出したり、ごみ箱から資料をあさるといった“人の心理面の弱さを突く手口”のことを何と呼ぶのを知らなくても、「ソーシャルエンジニアリング」という言葉を聞いたことがある人は多いはずだ。
ところが、対策はどうかというと、実際に被害に遭うという実感が持てないためか、あまり好ましい状況とはなっていないようだ。
本来、受付や窓口担当者はソーシャルエンジニアリングに対する訓練を受けておくべきだと思うのだが、残念ながらいままでにそのような人に会ったことはない。例え被害に遭ったとしても気が付かずに悪用され続けている企業もあるだろう。「うちは大丈夫」と考える人が多いのであれば、少々懸念してみた方がよいだろう。
正門を守る護衛兵を攻撃して突破するよりも、防御が手薄な裏口を狙った方が得策なのと同じように、強固に防御されたファイアウォールを苦労して破るよりも、建物に入り込んで社内ネットワークから攻撃する方が楽に決まっている。
強固に守る相手にはゲリラ戦が有効なのだ。
「建物に入り込もうとしてもICカードで防御できている」と安心してはいけない。“仕込み者”というのをご存じだろうか。仕込み者とは、不正を働こうと企む側が組織内に送り込んだ内部協力者のことである。クレジットカードのスキミングや商品の横流しなど、内部に入り込んでしまえば何でもやり放題だ。
内部協力者は報酬でつる場合もあれば、何らかの弱みを握っていることもある。危険なことは自分自身でやる必要はない。人間なんて弱いものだ。そう、ここでも性弱説が登場する。
組織の中に何か困り事を持つ人間が1人くらいいてもおかしくない。そして、弱みを握られた人間が仕込み者に成り下がるのだ。
中には開き直って、困り事を言い訳にして自ら悪事を働く人間がいるかもしれない。ウイルスや不正アクセスに対するセキュリティ対策を導入している企業は多いのに、人的な弱みに付け込む不正に対するセキュリティ対策を実施している企業は少ない。
設備やツールを買ってそれでおしまい。すきだらけなのに安心しきっている、こんな組織は不正を働こうとする側から見れば格好の獲物だろう。
ソーシャルエンジニアリングはさほど目新しいものではなく、知人のふりをして電話をかけてだます古典的な詐欺手口の延長にすぎない。しかし、その古典的な詐欺手口をITなどを使ったりして少しだけ応用すると、恐ろしく強力な人だましの術となる。
以下、典型的なソーシャルエンジニアリングのパターンについて見ていこう。
トラッシング(スカビンジングともいう)とは、捨てられたごみの中から目的の情報を探し出す手口のことだ。
人はごみとして捨てたものに対して関心をなくしてしまうものだ。個人情報についてはシュレッダーにかけることが当たり前とはいえ、営業機密に対する意識はどうだろうか。
目的の情報そのものが捨てられていなくても、目的の情報に近づくために利用できそうな情報を拾い出すことができるだけでも上等だろう。特に気を付けたいのは環境保護活動として裏紙をメモ代わりに利用している職場だ。個人情報でないからといって、そのまま廃棄しても大丈夫なのだろうか。
構内侵入とは、建物内に堂々と侵入する行為を指す。
空き巣のようにこそっと侵入するわけではないため、侵入されたことさえ知らずにいることになる。IDカードの偽装や、拾得したIDカードの悪用といった方法よりも、ピギーバック(そのビルに入ろうとしている正規の者の同伴者を装い侵入すること)の方が怖い。
誰かがIDカードでドアを開けたら、仲間が一緒に入ってしまうような職場は気を付けられたい。これも古典的な手法なのだが、清掃員や設備点検員などになりすます方法もかなり有効な方法だ。制服や白衣を着るだけで、勝手に相手が思い込んでくれる。
プロの詐欺師ともなると、飛び込みの営業として正当に面談を交渉したりする。話術がうまく信頼できそうに見せれば、初対面でも営業機密的な情報を惜しげもなく教えてしまう人も少なくない。
のぞき見は文字通り、パスワードなどの重要な情報をのぞき見ることだ。
パソコンの画面やキーボードの操作を肩越しにのぞき見して情報を盗み出す、ショルダーハックという手法が有名だが、実際にはそのような苦労をしなくても、机の上やパソコン画面に資料が開かれたまま放置されていることも少なくない。
盗み聞きは、会話や電話で話している内容を耳にするものである。こちらも苦労しなくても、会社の近くの居酒屋や喫茶店に行けば、酔客と化したサラリーマンたちが営業機密を小声のつもりで大声で話し合っている。
他人になりすまして情報を引き出したりする手口だ。
ユーザーになりすましてシステム管理者をだましたり、反対にシステム管理者になりすましてユーザーをだましたりする。
前者の場合はパスワードを忘れたので教えてほしいとか、後者の場合はユーザー登録データを再登録したいので、もう一度登録情報を教えてほしいといったものである。
このほかにもなりすましには基本形だけでも多種あり、応用形を考えると枚挙にいとまがない。特に電話や電子メールを使うことによって、多くの人がだまされてしまう。電子メールとWebサイトを使ったなりすましは特にフィッシングと呼ばれ、なかなか本物と見分けがつきにくい。
普段からよく利用しているWebサイトから送られてくる案内メールが偽物で、その偽案内メールに誘導されてリンククリックした先にあるいつものWebサイトも偽物で、何らかの理由を付けられて登録フォームに入力した情報をまんまと詐取されるというものだ。
顧客や取引先になりすまして営業機密を聞き出そうとする手口もあるが、飛び込みの営業として構内侵入する手口と同じように、見込み客やリクルート学生、転職希望者などになりすまして危険を冒さずに情報収集されてしまうこともある。
環境報告書やCSRレポートなどホームページなどで情報発信している企業であれば、一市民として情報公開を求めることもできる。社外に対して何を公開してよいのか、何を守秘しなければならないのかについて、きちんと徹底していないところでは、担当者がいわなくてもいいことまでいってしまいかねない。
Copyright © ITmedia, Inc. All Rights Reserved.