サイバーセキュリティについて考えるとき、ほとんどの人は、ハッカーによる技術的な弱点を狙ったデータネットワークへの攻撃からどう身を守るかを検討するでしょう。しかし、組織やネットワークに侵入する方法は他にもあります。それは人の弱みにつけ込むという方法です。これはソーシャルエンジニアリングと呼ばれ、人をだまして情報を漏洩させたりデータネットワークへのアクセスを有効にさせたりすることです。
たとえば、侵入者がITヘルプデスクのスタッフになりすまして、ユーザーにユーザー名やパスワードなどの情報を提供するよう依頼することもあります。侵入者とは知らず、担当者であると思い込むと、驚くほど多くの人が深く考えずにその情報を進んで提供してしまうのです。
簡単に言うと、ソーシャルエンジニアリングとは、個人を操り、情報やデータへのアクセスを可能にしたり漏洩させたりするだましの手法です。
ソーシャルエンジニアリング攻撃にはさまざまな種類があります。ソーシャルエンジニアリングの定義と、その仕組みを理解することが重要です。基本的な手口が理解できれば、ソーシャルエンジニアリング攻撃を見つけやすくなります。
ベイト(おとり)攻撃は、マルウェア入りのUSBメモリなどの罠を仕掛けます。中に何が入っているのかを知りたくて誰かがメモリをUSBドライブに差し込むと、システムに不正侵入されてしまう攻撃です。USBメモリがコンピュータを破壊することもあります。USBドライブからの電力で充電した後、放電して激しい電力サージを引き起こし、その電力を供給していた機器に損傷を与えるのです。安価なUSBメモリを使って、このような攻撃が行われる可能性があります。
この攻撃は、もっともらしい話をして、標的にした人の関心を引いてだまし、情報を入手します。たとえば、インターネット調査ではじめはまったく悪意がなさそうに見せておいて、そのうち銀行口座の詳細情報を尋ねたりします。または、クリップボードを持った人がやって来て、内部システムの監査を実施していると言うかもしれません。ところが、彼らの肩書は偽であり、実は貴重な情報を盗もうとしている侵入者かもしれません。
信頼できるソースから発信されたように見せかけてメールやテキストメッセージを送りつけ、個人情報を要求するフィッシング攻撃も、ソーシャルエンジニアリングの一種です。よく知られているのは、銀行からのメールと思わせて顧客にセキュリティ情報を「確認」するよう要求し、偽のサイトに誘導してログイン認証情報を窃取するというタイプです。「スピアフィッシング」は、企業内の1人を標的にして会社の上級管理職からを装ったメールを送り、機密情報を要求します。
このタイプのソーシャルエンジニアリング攻撃は、フィッシングの一種である「ボイスフィッシング」です。電話をかけてデータを要求します。たとえば、ITヘルプデスクのふりをして、ログイン情報を要求します。スミッシングは、電話の代わりにSMSメッセージを利用してこのような情報を入手します。
ソーシャルエンジニアリング攻撃は被害者を騙して、問題解決のためにはデータやアクセスを提供する必要があると信じ込ませます。これがまさに「スケアウェア」とよばれる悪意のあるプログラムのやり口です。緊急のセキュリティ問題に対処するためにシステムのアップデートが必要だとユーザーを騙すのですが、実は、スケアウェア自体がセキュリティ上の脅威であり、金銭や個人情報を盗まれたり不正侵入されたりするなどの被害が発生します。
このタイプの攻撃は、メールやソーシャルメディアアカウントをハッキングして被害者の連絡先に不正アクセスするところから始まります。連絡先にリストされていた友人や知人に対し、その被害者となりすまして連絡し、盗難に遭いクレジットカードがすべて盗まれた、ついてはこの銀行口座に送金してくれないか、という偽のメッセージを送りつけるのです。また、「友達」を語ってマルウェアやキーロガー付きトロイの木馬にリンクしている「必見動画」を送ってくる場合もあります。
最後に、これまで説明したものよりもはるかに進化したソーシャルエンジニアリング攻撃を紹介します。これまでご説明した単純な手法のほとんどは、「ハンティング」タイプです。要は不正侵入し、情報を手に入れて、出ていきます。
それに対して、ソーシャルエンジニアリング攻撃の中には、標的と人間関係を築き、長期間かけてより多くの情報を引き出すタイプのものもあります。これは「ファーミング」と呼ばれており、侵入に成功すれば、はるかに多くの情報を入手することができます。
ソーシャルエンジニアリング攻撃は、対策が非常に困難です。好奇心や、権威に対する敬意、友達を助けたいという願望など、人間に本来備わっている特性を利用するように設計されているからです。ソーシャルエンジニアリング攻撃を見つけ出すのに役立ついくつかのヒントをご紹介しましょう。
その情報がどこから来たのかを、考えてみてください。すべてを信用してはいけません。出所のわからないUSBメモリがデスクの上に置かれていましたか。突然電話がかかってきて、あなたは500万ドルを相続したと告げられましたか。CEOからメールが届き、大量の従業員の個人情報を要求されましたか。どれもすべて疑わしく思われます。注意して対応する必要があります。
発信元を確認するのは難しくありません。たとえばメールの場合は、メールヘッダーを確認し、同じ送信者からの本物のメールと照合しましょう。リンク先を調べましょう。なりすましのハイパーリンクは、カーソルをその上に合わせるだけで簡単に見つけることができます(リンクをクリックしないでください!)。おかしな日本語が混じっていないかを確認しましょう。銀行には、顧客とのやり取りを専門とする有能な人材が集まったチームがありますので、単純な誤字脱字があるメールはおそらく偽物です。
疑わしい場合は、公式サイトにアクセスして正式な担当者に連絡しましょう。そのメールやメッセージが公式のものか偽物かを確認してもらえます。
その発信元は、あなたのフルネームなど、知っていて当然の情報を持っていますか。銀行から電話がかかってきたなら、銀行はそのようなデータを目の前に用意しているはずですし、口座の変更を許可する前に必ず確認をします。そうでない場合は、偽のメール、通話、メッセージである可能性が各段に高くなりますので、注意が必要です。
ソーシャルエンジニアリングは危機感を利用することがよくあります。攻撃者にとっては、何が起こっているのか被害者がじっくり考えないほうが望ましいのです。時間をとって考えれば、このような攻撃を防ぎ、それが偽者なのかはっきりさせることができます。
電話でデータを教えたり、リンクをクリックしたりせずに、公式の電話番号にかけるか、公式のWebサイトのURLにアクセスしましょう。別の通信方法を使用して、発信元の信頼性を確認しましょう。たとえば、友達から電信送金を求めるメールが届いた場合は、携帯電話にテキストメッセージを送信するか電話をかけて、本当にメールを送ったかどうかを友達に確認してください。
最も簡単なソーシャルエンジニアリング攻撃の1つは、大きな箱や大量のファイルを両手に抱えてセキュリティを回避し、建物に侵入するというものです。ドアを開けて入れてあげる親切な人はどこにでもいるので、その親切を悪用しようというのです。これに引っかからないでください。必ず身分証明書を見せるよう要求しましょう。
これは他の手法にも当てはまります。電話をかけてきた人の名前と電話番号を確認して、「誰からの指示か」を尋ねるのは、情報を要求されたときの基本対応です。次に、機密情報や個人データを提供する前に、組織図や電話帳を確認しましょう。情報を要求する人のことを知らず、情報を手渡すことに不安を覚えるなら、別の人に再確認する必要があると告げて、しっかり確認した後でまた戻ってきましょう。
メールプログラムがきちんと迷惑メールを削除していない場合や、メールを疑わしいものとしてマークしていない場合は、設定を変更することをお勧めします。優れたスパムフィルターは、さまざまな情報を使用して、どのメールが迷惑メールである可能性が高いかを判断します。疑わしいファイルやリンクを検知し、疑わしいIPアドレスや送信者IDのブラックリストを作成し、メッセージの内容を分析して偽物の可能性が高いものを特定します。
ソーシャルエンジニアリング攻撃の中には、ユーザーをだまして分析されないようにすることでうまく機能しているものがあります。時間をかけて状況が現実的かどうかを評価すれば、多くの攻撃を見つけ出すことができます。たとえばこんな状況を考えてみてください。
会話に切迫感を感じるときは特に注意してください。これは、悪意のある者が、標的にその問題についてじっくり考えさせないようにするためのよくある手口です。急かされたら、対応のペースを落としてください。その情報を用意する時間が必要だ、部長に聞かなければならない、今は適切な情報を持っていないなど、何でもよいので、ペースを落として考える時間を作れる理由を言いましょう。
攻撃者はたいていの場合、驚かせることではなにも得られないと気付くと、それ以上強引なことはしません。
ソーシャルエンジニアリング攻撃に引っかかってしまったとしても、被害を低減できるように、デバイスを保護することも重要です。スマートフォンでも、シンプルな自宅のネットワークでも、大規模なエンタープライズシステムでも、基本原則は同じです。
デジタルフットプリント(ネットに公開している自分の情報)について考えるのもお勧めです。SNSなどを通じて個人情報をオンラインで共有しすぎると、攻撃者に手を貸すことになります。たとえば、多くのサービスは秘密の問題として「最初のペットの名前」を聞く可能性があります。それをFacebookで共有していませんか。もしそうなら、秘密の質問はもう秘密ではありません。また、ソーシャルエンジニアリング攻撃の中には、ユーザーがSNSで共有した最近の出来事を参照して、信頼を得ようとするものもあります。
SNSの公開範囲を「友達のみ」にして、共有する内容に気を付けることをお勧めします。神経過敏になる必要はありません。ただ気を付けましょう。
オンラインで共有する個人情報には、気をつけることが他にもあります。たとえば、利用者のプロファイルを公開するインターネットサービスを利用している場合は、住所、電話番号、生年月日などの個人情報を不用意に公開しないよう気をつけましょう。これらはソーシャルエンジニアリング攻撃を行う場合とても有益な情報です。被害者を選ばないソーシャルエンジニアリング攻撃もありますが、ターゲットを絞り込み用意周到に被害者をだます攻撃もあります。犯罪者が利用できる情報を少なくしましょう。
ソーシャルエンジニアリングは、日常よくある状況を悪用した攻撃のため、非常に危険です。ただし、それがどのような仕組みなのかを十分に把握し、基本的な対策を行えば、ソーシャルエンジニアリングの被害者になる可能性ははるかに低くなるでしょう。