セキュリティのつぼ(2)
隣人をも疑うべきか?〜ソーシャルエンジニアリング〜
橋本 晋之介
2001/12/12
| 本連載では、セキュリティ技術や周辺テクノロジといった技術論だけではなく、セキュリティ導入を検討するために知っておくとちょっとためになるテーマを順次掲載する。技術者、コンサルタント、ユーザーの方々への参考としてほしい。(編集局) |
具体的な犯行数の実態は見えないが、コンピュータシステムに対する最も多い攻撃が“ソーシャルエンジニアリング”(以下SE)だといわれている。その訳語は「社会工学」といわれているが、
私は「口八丁手八丁攻撃」と呼んでいる。
これは、日常的なコミュニケーション手段などを用いて重要な情報を入手し、システムに侵入するような攻撃のことだ。
●子どもにやられたフォックスTV
具体的な例を見てみよう。1998年7月、米シカゴのフォックスTV系列のWebサイトに何者かが侵入した。そして、Webページの書き換えが行われ、15時間サイトを停止することになってしまった。犯人は、なんと14歳の少年であったのだ。その手口は、IT技術を駆使したクラッキングではなかった。
少年はISPに電話して、ただ一言伝えただけだった。「パスワードを忘れたのでリセットしてください」と。
ISPは、電話の相手が契約者であるかどうかを確認しなかったのだ。そして、依頼どおりにパスワードをリセットしたという。少年は初期パスワードを知っていたのだろう。難なくWebページの書き換えができてしまったのだ。
これが典型的なSEだ。セキュリティホールを突いた攻撃よりも、SEを使った攻撃の方がはるかに簡単で、だれにでもでき、効果も絶大だ。システムがどんなに堅牢になろうとも、それを利用するのは人間である。人間がうっかりしていると重要な情報を盗まれ、システムは簡単に攻撃されてしまうのだ。SEの恐ろしさが、お分かりいただけたであろうか?
●ソーシャルエンジニアリングとはこんな手口
SEには、さまざまな手口がある。代表的なものを挙げてみよう。
・トラッシング(ゴミ箱あさり)
ターゲットのゴミをあさって、重要情報を入手すること。深夜にゴミ捨て場を探ったり、清掃員や警備員になりすまして行う。
・構内侵入
そのビルに入ろうとしている人の同伴者のふりをして侵入したり、別件訪問のついでに構内を歩き回り、机の上の書類やモニタに貼られた付せん紙などを盗み見る。
・のぞき見
ターゲットと面会中、ターゲットが席を外したすきにメモや手帳、パソコンのデータなどを見る。
・インターネットの掲示板などからの収集
公開の場にもかかわらず、書き込みをしているアクティブなメンバーしかいないと勘違いする人がいる。そこで、社外秘情報などを書き込んだり、社内で使用しているパスワードを使っていることがある。これを探す手口がある。
・Web spoofing(偽サイト)
偽サイトを作り、ターゲットに情報を書き込ませる。
・なりすまし
電話などで他人になりすまし、情報を聞き出す。
このうち、最後のなりすましがよく行われているようである。
●最も多い電話による“なりすまし”
社内のシステム管理者になりすまし、ターゲットから電話で重要情報を聞き出す事例が多いようだ。例えば、「システムのメンテナンスのためにあなたのパスワードを知る必要がある」といって、ターゲットのパスワードを聞き出すことがある。通常、システム管理者はシステムの中で万能なので、一般ユーザーのパスワードなどを知る必要はない。だが、一般ユーザーはそのことを知らないのが普通なので、こういった質問に安易に答えてしまうことがあるのだ。
また、逆に初心者を装ってシステム管理者に利用方法を問い合わせたり、パスワードを忘れたといって、設定し直してもらう手口もある。
さらに、
重役を装って、現在のシステム構成をすぐに知らせるよう命じることもある。
一般に、システム管理者も社員であるから上司の命令には逆らえない。ましてや雲上人から直接命じられると、本物の重役かどうかなど確認できない。このため、素直に回答してしまうことが多いようだ。
外部からの問い合わせでもうっかり答えてしまうケースがある。例えば警察や電話会社、ISPを名乗られると、意外にあっさりと相手を信じてしまうことがある。すると、重要な情報でも簡単に伝えてしまうのだ。また、契約したがっている見込み客を装って、サービスや運営体制の詳細を聞き出そうとすることもある。
盲点だが、友人や親せきは信用しやすい。旧友が情報を横流しするかもしれないなどとは考えずに、業務について詳しく話してしまう人は少なくない。
また、飲み屋で同僚と大声で仕事の話をしていたところ、隣に同業者がいたという話も聞いたことがある。彼もしくは彼女がクラッカーだったら、攻撃されるかもしれない。
●日常生活にもセキュリティホールがある
日常生活でもSEによる情報の聞き出しはよくある。
消防署員の制服を着て、「消防署の方から来ました」といって消火器を売りつける悪質業者がいるそうである。「消防署の方」とは方角のことで、消防署員であるとはいっていないと主張するのだ。類似の手口で「警察の方から来ました」といって、近所の情報を聞き出そうとすることもありそうだ。
私には子どもがいるが、学校からSEの警告を受けている。「PTAの者ですが、○○ちゃんに連絡したいので、電話番号を教えていただけませんか?」という不審電話があるそうだ。PTAの役員なら、全生徒の電話番号ぐらい知っているはずだし、学校のPTA室には名簿が備えられている。ご丁寧に攻撃者は、「○年○組の○○の母ですが」と実在の人物を名乗ることもあり、うっかり信用してしまう父兄もいるのだ。
私事だが、こんなことがあった。子どもの友人の母親に、私の姉を名乗った女性から電話があり、学校の様子などの世間話を長々としたそうだ。電話を切った後で、その母親が不審に思い、私に直接電話で確認してきた。私には姉などいないのである。とても気味の悪い話である。攻撃者は学校の事情や私の家庭状況にある程度精通しており、同じクラスの子どもの名前やその間柄についての話が多数出てきたそうである。そのため、母親は電話中にはそれほど不審に思わず、電話を切ってから話のつじつまが合わない点があることに気付いたそうである。
攻撃者の方から多くの情報を出してくるのは、相手を信用させる手口の1つだ。
攻撃者からの情報が多い場合、よくよく考えればつじつまの合わない点が出てくるものだ。しかし、リアルタイムで会話をしていると返事もしなければならないし、次々と新しい話が出てくる。ゆっくり考えることができないから、なかなか矛盾に気付かない。電話を切ってから思い返して初めて矛盾に気付くものなのだ。
その後、その女性からの電話はないし、私にも電話を受けた家庭にも目に見える実害はない。だが、世間話の過程で何らかの情報を入手されたのかもしれない。
●SEを防ぐための心構えと対策
悲しい話だが、周囲の人はすべて攻撃者だと思う心構えが必要かもしれない。
まず、話し相手の身元を確認すること。電話で不審に思ったらコールバックする。相手が出たからといってその電話が当人の持ち物だとは限らないが、少なくとも連絡の取れる電話番号だけは入手できる。事件に発展した場合、手掛かりの1つになるだろう。
重要な情報を尋ねられたら、自分1人で判断しないで周囲の人と相談してから答えるべきだ。もっとも、相談相手が攻撃者の仲間だったらどうにもならないが、疑いだすと切りがないので、常識的に判断しよう。周りにだれもいなかったら、即答せずに後で回答することにしよう。回答のための連絡は自分から行うと主張する。そうすれば、相手の連絡先が1つ入手できるか、あるいは相手があきらめる可能性がある。
パスワードの再発行では、登録されたアドレスにメールを送るとか、登録された住所に郵送するなどすれば、なりすました攻撃者には受け取りにくい。電話で直接伝えることは絶対に避けたい。
入出門の際には、時間がかかっても1人ずつ確実に身元を確認するようにすべきだ。
また、訪問者には名札を渡す企業が多いが、その名札に面会者の名前を書くようにするとほかの部署には立ち寄りにくい。その際、面会者がその名札に面会終了時刻を記し、サインをする。訪問者が帰る際に受付で時刻とサインを確認すれば、ある程度訪問者の行動を制限できる。
紙類は極秘文書からメモ、付せんに至るまですべてシュレッダー処理する。
幅広のシュレッダーならば再生紙に転用できるので、環境問題もクリアできる。
インターネットでは、
掲示板やWebに余計なことを書き込まないようにする。
書き込む前に常に「安全か?」と自問する習慣を付けよう。
来訪者に関して、
少しでも不自然さを感じることがあったら警戒することだ。
そして、相手についてなるべく多くのことを聞き出そう。また、不審な出来事があったら組織全体に連絡し、警戒するとよいだろう。ひょっとすると、ほかの同僚もすでに攻撃を受けているかもしれないことが判明し、「似たようなことがあった」といい出す同僚がいるかもしれない。
システムは人間が作り、運用しているものである。技術的に不正アクセスなどの攻撃を防いでも、
重要情報を知られてしまえば攻撃者は正規の利用者に早変わりだ。
これではシステムも防ぎようがない。バイオメトリクスなどの技術もあるが、それも程度問題である。
以前は、初対面の人に会ったらまず信用し、話を聞き、行動を見てからあらためて相手を疑ってみたりしたものである。だが、すでにそのようなのどかな時代は終わった。
これからは、まず相手を疑う。
用心しながら話を聞き、相手に伝える事柄は一呼吸おいてから口に出す。相手の言動を見ながら、日時をかけて信用するようにしよう。
また、重要な書類、メモ、付せん紙などは人の目に付くところには置かないようにすべきだ。不要になったら確実に処分する。これを組織全体で徹底しよう。
こういうことをいうと、「むなしい世の中になった」という人がいるが、慣れればどうということはない。いきなり人を信用していた時代が空恐ろしく感じるようになるだろう。
| Profile |
| 橋本 晋之介(はしもと しんのすけ) 1965年生まれ。長岡技術科学大学大学院修士課程修了(電気電子システム工学専攻)。NEC子会社に勤めた後、1994年(有)ケイワーク(http://www.k-work.co.jp)設立に参加。はじめのうちはなかなか経営が安定しなかったので執筆業に手を染め、現在に至る。熱烈なKawasaki Racing Team のファンで全日本ロードレースや国内で開催されるロードレース世界戦はたいてい観戦している。交通費と応援グッズ購入費が足りなくなり@ITで連載を始めた(爆)。最近では電子出版事業も手がけている。http://www.aswe.jp |
 |
セキュリティのつぼ |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
