最もアナログな攻撃・不正アクセスである「ソーシャルエンジニアリング」。悪意ある人間が善良な市民や企業・団体など様々なターゲットをおとしいれる時、先ず行われる攻撃ですし、技術的な知識が不要なので、誰でも被害に遭う可能性があるのです。
このソーシャルエンジニアリングは一言で言うなら『心理的攻撃』のこと。システム破壊やサーバ侵入といった技術的攻撃とは違いその方法は様々。
今回はこのソーシャルエンジニアリングについての具体的手法から、その対策方法まで。さらには他では語られない“体験者だからこそ語れる話”を整理しようと思います。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものが多くあります。
あなたが攻撃者となっている可能性も!
サイバー攻撃などと比べ、高度な技術を使わずにパスワードなどを入手する方法でもあり、もしかするとあなたも自然とやってしまっているかも。。
あなたの奥様や旦那様の携帯操作を覗き見て、携帯のパスワードを覚えちゃったりしてませんか??w それも立派なソーシャルエンジニアリングです!!
入手した情報をもとに、標的型攻撃を行う場合も!
サイバー攻撃の中でもメジャーな「標的型攻撃」の場合、無差別攻撃とは異なりターゲットの情報を出来るだけ詳細に集めないといけません。この時に用いられる情報収集活動もソーシャルエンジニアリングです。
ソーシャルエンジニアリングでパスワードまで入手ができなかった場合、それまでの行為で得た情報をもとに、標的型攻撃を行いパスワードを入手する場合もあります。
標的型攻撃の重要な要素は『人を騙す』『人をおとしいれる』スキルで、これに長けていなくてはお話になりません。ということは、攻撃者は『高度な詐欺師』でなくてはならないということです。
ソーシャルエンジニアリングの手法とその対策
主なソーシャルエンジニアリングの手法には様々ありますので紹介したいと思います。
電話でパスワードを聞き出す方法
電話を利用したソーシャルエンジニアリングは、対面しないためターゲットに近づいて情報を入手しやすいのが特徴。昔からある代表的な方法です。
何らかの方法でそのターゲットとなるサービス等のユーザー名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。
また、逆に管理者になりすまして、直接利用者にパスワードを確認するといったことも行えます。
この対策としては、あらかじめ電話ではパスワードなどの重要な情報を伝えないというルールを決めておくしかないでしょう。
むやみに重要な情報を話さないことですね。
覗き見する方法(ショルダーハッキング)
肩越しに覗く動作から、ショルダー(shoulder=肩)ハッキングとも呼ばれているこの方法。パスワードなどの重要な情報を入力しているところをさりげなく覗き見る方法ですね。
たとえオフィス内などの普段の慣れた場所であっても、クレジットカードの番号やパスワードなど、キーボードで重要な情報を入力する際には、周りに注意することが重要です。これしかありませんね。
ゴミ箱をあさる方法(トラッシング)
重要な情報をゴミ箱に捨てたりしていませんか?外部からネットワークに侵入する際に、事前の情報収集として行われることが多いのがトラッシングです。
不正アクセスの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料(紙や記憶媒体)から、サーバやルータなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザ名やパスワードといった情報を探し出します。
重要な情報は、鍵をかけて第三者が見れないようにしておく。さらに廃棄をする際情報を読み取られることがないように紙媒体であればシュレッダーにかける。記憶媒体であれば確実に消去する、紛失に気をつけるなど。
自分だけは大丈夫と思わずに徹底しましょう。
具体的体験談からわかるソーシャルエンジニアリングの巧妙化
ここでは筆者が実際に体験したことを含め、より具体的な手法を文章に整理したいと思います。
人間には“先入観”という観念があります。今、目の前で起こっている事を過去の記憶や経験から『これは確かこうだ』という固定観念を導き出し、結論付ける行為でもあります。そして厄介なことに、たとえそれが嘘であっても真実として捉えてしまうものなのです。【嘘が嘘でなくなる】瞬間です。
では、どのようにして嘘を真実として捉えさせるのか?それにはいくつかの要素が必要になります。攻撃者は要素を巧みに組み合わせ真実に見せかけています。
緊急性を持たせる話し方
メールなどで、下記の様な緊急性を持たせたキーワードをよく見ると思います。
- 至急確認をお願致します
- 重要
- 至急開封
- 漏洩確認
攻撃的な文言を用いずとも、穏便に済ませようとする行為や提案なども含まれます。
オレオレ詐欺や架空請求などでも使われる『今なら表沙汰にならないで済む』『今ならこの金額で法的処置を取り下げれます』などもそうです。
現在の日本で今の今決定しなくてはいけない事案に対し、今の今連絡してきたり聞いてくる事は、テレビの視聴者プレゼントのクイズの回答を電話で当選者に聞いてくる時くらいだと思います。それぐらいあり得ないことなのです。
大胆な行動・発言・表情
ターゲットを陥れる以上、決して嘘をついていると気付かれてはなりません。それには攻撃者自身が嘘を真実と思い込み、大胆な行動、発言、表情をしなくてはなりません。
ある地域の某署にて生活安全課の方と話をする機会がありました。
その際にふと手持ちの、中身が空のUSBメモリを『非公開の学校裏サイトが全て入っています。青少年の犯罪抑止に使えないかと』と言い渡しました。そう、おどおどもせず普通にです。
課の人は何の疑いもなくUSBメモリをPCに接続した。この時に渡したUSBメモリの中身が空ではなく、悪意ある遠隔プログラムだったら私は今こうしてコラムは書いていなかったでしょう。その日は『USBメモリを間違いました』と言い、何事もなく帰りました。
私は確信しました。どんなに緊張するような場面でも決して動揺や不審な動きをせず、大胆かつ自然に行動し、その時の時事ネタを織り交ぜ、相手にとって利になる情報を与えると、人間は簡単に注意力が落ちると。
あなたのオフィスに見慣れない社員や、いつもと違うバイク便や宅配業者などが入ってきたら、たとえ攻撃者でなかったとしても、声をかけたり他の仲間に聞いたりして再確認をするようにしましょう。攻撃者は平然としかし大胆に近づいてくるのです。
トラッシング(メールハント)
これは前述の通り、企業や個人のゴミを漁り情報を盗む手口の一種です。最近ではメールハントの方が問題になっています。
個人情報に結びつく書類をシュレッダーにかけることが、当たり前の習慣になっていると思います。啓蒙のおかげで、個人でも企業でも実践されています。ですから昔よりはゴミから情報が漏れることが減りました。しかし問題は『ゴミになる前』なのです。
これはつまり、ポストに入っている郵便物をそのまま持ち去る行為を指しています。防犯カメラなどの設置により少なくはなってきていますが、サイバーストーカーなどの手による被害は未だに後を絶ちません。
受取主が知らない間に請求書に記載されたIDなどを使い、アカウントを乗っ取ったりするのです。パスワードは請求書に記載されているサポートに聞けばいいのです。請求書の番号などを言い、メールアドレスが変わったと懇願し、丁寧な口調で聞き出せばパスワード再発行のURL記載のメールを送ってくれるはずです。
郵便物が失くなると、たいていの人は郵便配達員の間違いを疑ったり、郵便局に問い合わせたりすると思いますが、このような事があるということを知識として持っておくことで冷静になることができますね。
まとめ
最新のランサムウェアやウイルスばかりに意識が向かいがちですが、新型デバイスやアプリケーションを使った手口に昔ながらのアナログの手口を融合させた、一見、複雑そうに見えるフィッシング行為もよく見られます。
これらの手口はよくよく考えると非常に単純なものであり、ユーザーの油断した『心と普段の何気ない生活のスキ』をついています。これらは事例を少し知っておくだけで防ぐことができます。まずは焦らず冷静になることが必要です。
対策方法は「いざという時に冷静に対応すること」。今回整理した内容をもとに、ソーシャルエンジニアリングを行う詐欺師から『トリックに対する免疫』をつけていただき、役立ててほしいと思います。
2018年4月17日、新潟県立坂町病院に何者かがソーシャルエンジニアリングを仕掛けられ、同院に勤務する研修医の個人情報が漏洩したことを明らかにしました。
同院によると、漏洩した情報は研修医合計52名分。流出の内訳は「氏名および携帯電話番号」とのこと。新潟県は坂町病院に代わり、関係者及び県民に対して謝罪の意を示しています。
参考なりすまし電話で個人情報52件が漏洩、ソーシャルエンジニアリング被害