セキュリティめがね 第6回　心のスキと弱点を狙う！ オンライン犯罪の手口

　入社3ヶ月のあなたが会社のデスクに座っていると、電話が鳴りました。あわてた声の主は、あなたの会社の社長秘書のようです。話すのは初めてですが、とても緊急であることが受話器から伝わってきます。

　社長秘書「これから始まる会議で社長が使う資料が必要なのですが、今から資料が置いてあるWebページのURLを言いますので、そこからワードファイルをダウンロードして印刷して、なるべく早く会議室まで持ってきていただけませんか。URLは、http://? です。」

　あなた「ダウンロードして開いてみたのですが、ファイルが壊れているみたいで開けないですね。」

　社長秘書「そうですか。仕方ありませんね。別の資料を探してみます。忙しいところ手間をとらせてごめんなさいね。」

こうして電話は終わりました。

■システムではなく心理的弱点をつく攻撃

　あなたは会社の緊急時に役に立とうとしたのかもしれません。でも、もしこの電話の主が本当の社長秘書ではなかったとしたら？　いったいどういうことが起きるのか考えてみましょう。

　秘書と名乗る女性に言われてあなたが開いたファイルが、もし、セキュリティめがねの第4回で紹介したような、ワープロソフトなどの未知の脆弱性を利用したウイルスだったとしたら、攻撃者はメールアドレスすら知らないあなたのコンピュータに、侵入用の裏口をこっそり仕掛けてしまったかもしれません。もしそうなら、ファイアウォールや不正アクセス検知システムなどに守られた、あなたの会社のシステムの内部に、電話一本でまんまと入り込んだことになります。

　ネットやパソコンのセキュリティといえば、ウイルスや不正アクセスといった、コンピュータやネットワークを使った攻撃が最初に頭に浮かぶかもしれません。しかし実際の事件では、人間の弱点を突いた攻撃が非常に多いのです。冒頭の例では、「権威（社長に関連する）」や「緊急（会議がすぐ始まる）」という心理的弱みを狙い、なおかつ、困っている人には協力したいという、親切心すら利用していました。

　こうした攻撃を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング（social engineering）は、一般的には「社会工学」と訳されますが、「社会や組織の仕組や人間関係を操り、悪用する技術」といった意味で使われます。セキュリティのもっとも弱い部分は、ハードでもソフトでもなく、人間ともいわれています。今回は心のセキュリティホールを狙う、ソーシャルエンジニアリングの手口と対策を見ていきます。

■史上最強のハッカーが得意としたのは心理戦

　人間の心理的な弱点や、行動のミスを狙ったこの攻撃は、会社のルールや情報の価値をまだよく知らない新入社員をはじめ、機密情報にアクセス権限を持っているシステム管理者、人事や経理など特定の部課の人がしばしば狙われます。

　FBIが最も恐れた、史上最強のハッカーと呼ばれたケビン・ミトニック氏※が得意としたのが、このソーシャルエンジニアリングでした。ミトニック氏は、電話一本でどんな機密情報でも入手できると豪語、「その情報を、単純に、まるで当たり前のようなふりをして要求するだけでよい」と述べています。
　
※ケビン・ミトニック...逮捕・投獄・釈放後更正し、現在はセキュリティ専門家として活躍

電話の声「お世話になります。○×トラベルですが、来週のニューヨーク行きのチケットが用意できました。ご自宅にお送りすればよろしいですか？」

被害者「ん？　ニューヨーク？　頼んだ覚えがないんですが。」

電話の声「お客さまは山田さんで間違いございませんか？」

被害者「そうですが。人違いではありませんか。」

電話の声「確認してみますね。お客さまの社員番号は何番でしたか？」

　ここで、山田さんは社員番号を相手に教えてしまいました。社員番号ぐらいと思うかもしれませんが、ミトニック氏は「会社の社員になりすますためには社員の名前、電話番号、社員番号があれば十分、さらに上司の名前もわかれば、ほぼ完全にその会社の社員になりすますことができる」と言っています。

■ソーシャルエンジニアリングの手順

　攻撃者がソーシャルエンジニアリングを行う手順には、3つの段階があります。

1．調査段階
・公開されている会社のWebサイトやIR情報、雑誌、新聞等の情報を収集
・会社のパンフレットや特許情報を入手
・業界内の共通用語を調査
・スカビンジング
・ショルダーハック

　ソーシャルエンジニアリングを仕掛ける攻撃者は、攻撃を成功させるために、被害者となるあなたの会社の基本情報はもちろん、部署名や上司の名前、進行中のプロジェクトなど、周辺情報を徹底的に集めます。その情報源は、公開情報であったり、電話による聞き込みだったり、スカビンジングなどと呼ばれるゴミ箱あさり、肩越しにのぞき見るショルダーハックなどさまざまです。

2．関係・信頼の構築段階
・内部情報に精通する関係者であることを匂わせる
・会社の重役など権威者の名をかたる
・緊急性を強調する
・要求に従わなかったときの被害を強調し脅す
・困っていると助けを求め、親切心に訴える

　調査段階で集められた周辺情報は、あなたと攻撃者との間の信頼関係を構築するために使われます。攻撃者は、同僚や上司、取引先、公共サービス事業者などになりすまして、あなたに接近し、権威者の名前をかたって高圧的に情報を要求したり、緊急であることを演出したり、あの手この手で、あなたを信じさせようとします。

3．信頼を利用する段階
・被害者に情報や、特定の行動・行為を求める
・被害者が攻撃者に助けを求めるように仕向ける

一度信頼関係を構築した後は、先の社員番号の例のように、あなたが情報を提供しなければならないストーリーをたくみに演出してきます。

反対に、攻撃者に助けを求めさせるような状況を演出することもあります。

電話の声「情報システム部ですが、あなたのメールが全部消えてしまいました。」

などと、あなたを不安にする情報を与え、その後で、もし、

「あなたのパスワードを教えてもらえれば修復できます。」

と、言われたら、うっかりはずみでパスワードを言ってしまうかもしれません。まさに「えっマジで！？　不安につけ込む　ネット詐欺」を地でいく攻撃手法なのです。

■ソーシャルエンジニアリングとテクノロジーを組み合わせた攻撃

　冒頭の社長秘書をかたる電話の例では、ソーシャルエンジニアリングのテクニックと、ワープロソフトの未知の脆弱性を利用したウイルスというテクノロジーが、合わせて用いられていました。ソーシャルエンジニアリングは技術と組み合わせることで、その悪の威力を増すのです。

　たとえば、フィッシング詐欺や標的型攻撃などでは、同僚や上司、あなたが普段利用している銀行などを装ったメールを使って攻撃を仕掛けてきます。これもソーシャルエンジニアリングのテクニックを利用した攻撃の一例です。

■ソーシャルエンジニアリングの被害を防ぐために

　ソーシャルエンジニアリングの被害を防ぐためには、とにかく「確認」を行うことが重要です。「失礼になるのではないか」「疑い深すぎるのではないか」と相手に感じさせるぐらいでかまわないでしょう。「失礼かとは存じますが、重要な情報に責任を持つために、念のため確認をさせていただきます。」とキッパリ言うことが、企業人としての責任ある態度なのです。

　相手が、本当に名乗るとおりの人物であるかどうか、その情報や行為を要求する資格があるかどうかを、社員名簿や公表されている情報から確認したり、あなたから電話をかけ直したりといった方法で調べることができます。

　そのような人が社内にいるのか、そのような会議が今行われているのかなど、一言上司に相談することも大変有効です。

　充分な確認が取れていない相手から、もしパスワードなどの情報を要求されたり、パスワードの変更や、URLのクリック、メールの添付ファイルの実行などの「行為」を要求された場合には、原則、対応してはいけません。自分で判断がつかない場合は、上司に相談しましょう。

　また、日頃から、社内の情報管理規定やデータの分類基準などの社内ルールをしっかりと覚えて、何が重要な情報なのかを知っておくことも同じくらいに大事なことです。

　「自分はだまされない」「ソーシャルエンジニアリングなんて遭ったことがない」と思っている人も、もしかすると自覚がないだけで、実際にはすでにソーシャルエンジニアリングの被害を受けている可能性があります。もし、少しでも何か思い当たる出来事があったならば、上司やシステム管理者に報告して相談してください。

（参考資料）
「欺術―史上最強のハッカーが明かす禁断の技法」
ケビン・ミトニック (著), ウィリアム・サイモン (著), 岩谷 宏 (訳)
ソフトバンククリエイティブ刊

セキュリティめがねTOP
第5回　安全なパスワードはこうして作れへ
第7回　見えない気付かない、はびこる「静かな攻撃」へ