リスク・フォーカスレポート

コンプライアンスやリスク管理に関するその時々のホットなテーマを、現場を知る
危機管理専門会社ならではの時流を先取りする鋭い視点から切り込み、提言するコラムです。

情報セキュリティ編 第五回(2012.12)

 企業における情報漏洩リスクの一つとしてクローズアップされている産業スパイやサイバースパイ活動は、攻撃の前にソーシャル・エンジニアリングを利用して標的社員に近づいてくるともいわれている。最近では、Facebook、Twitter等のSNSを利用し、組織内の特定の従業員になりすますことにより、標的社員の情報を取得するといった手口もある。

 ソーシャル・エンジニアリングの手口は、多岐にわたり、臨機応変に人間の心理につけ込み情報を詐取するため、技術的な対策は必ずしも有効ではない。日常の業務における対策として有効なことは、ソーシャル・エンジニアリングの脅威に対する理解と警戒であり、基本中の基本である情報管理ルールの徹底と周知に注意を払うことである。また「そんなあからさまな手口には騙されるわけがない・・・」との思い込みや自信を排除していくことも重要である。

1.情報セキュリティにおける外部からの意図的脅威

 人的脅威は、「偶発的脅威」と「意図的脅威」に分類される。ここでは、外部からの「意図的脅威」のうち、対策を強化すべきソーシャル・エンジニアリングについて解説する。

 ソーシャル・エンジニアリング(Social Engineering)は、直訳すると「社会工学」であり、従来は「人間の社会的行動を科学的に研究して、社会生活上の実際問題を解決しようとする学問」という意味で使われていた。

 情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、人間の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指す。場合によっては、フィッシングやトロイの木馬などのマルウェア(悪意を持ったソフトウェア)を使った手法なども、ソーシャル・エンジニアリングに含まれる。これらは、不正アクセスなどを成功させるための補足手段として用いられることもある。

 ソーシャル・エンジニアリングの手口は多岐にわたり、手口をさまざまな形で組み合わせて用いることが多い。

2.攻撃手法

 前述のとおり、ソーシャル・エンジニアリングとは、情報セキュリティ分野では、機械的(mechanical)な手段や技術的(technical)な手段ではなく、人間の行為や行動における心理的(psychological)な弱点を狙う手法により、個人情報や機密情報などを詐取する行為や手口のことを指す。ソーシャル・エンジニアリングの手口にはさまざまな種類があるが、古典的かつ典型的な手口として以下の3種類が挙げられる。

①なりすまして情報を聞き出す

 一般的な手口として、上司になりすますことで権威に弱い人間から情報を詐取する手口や、同僚や仲間を装うことで相手が心を許し、善意から情報提供することを狙いとする手口が用いられる。原理的には、相槌を打ったり、質問・関心を装うことで、対象者に次々と情報を出させるように仕向ける手法で、我々の身近でも、またインターネット掲示板等でもよく用いられる手口である。

 例えば、

      • 社内のシステム管理者になりますまして、利用者から情報を引き出す。
      • 初心者の利用者や女性社員になりすまして、システム管理者から情報を引き出す。
      • 取引先、見込み客、実在する顧客になりすまして、情報を引き出す。
      • 公共サービスの人間等、第三者になりすまして、情報を引き出す。

 等の手口が挙げられる。

②ゴミ箱をあさる

 ハッキングの対象として狙ったネットワークに侵入するために、ゴミ箱に捨てられた資料から、ユーザー名やパスワード等の情報を探し出す手口である。

 トラッシング(Trashing,Dumpser Diving)、あるいはスキャベンジング(Scavenging)とも呼ばれ、ゴミとして廃棄された書類などから目的の情報を盗みだす手口を指す。

 不用意にゴミ箱に捨てたメモ書き(得意先の担当者氏名や電話番号、住所などを書き込んだものなど)だけではなく、フロッピーディスクやCD、DVDなどの記憶媒体をそのまま捨てたものもターゲットとなる。外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングといわれている。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバーやルーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名やパスワードといった情報を探し出す。

 具体的には、

      • 業務終了後、従業者が帰宅した深夜などに、企業のゴミ収集場に忍び込み、収集される前にゴミをあさる。
      • 清掃業者になりすまし、フロア内のゴミ箱をあさる。清掃業者自身が、あるいは清掃業者を共犯者にして、ゴミ箱をあさる場合もある。
      • ゴミの回収業者になりすまして、収集場のゴミを持ち帰る。回収業者自身が、あるいは回収業者を共犯者にして、ゴミを持ち帰る場合もある。

 等の手口が挙げられる。

③肩越しに入力内容を見る

 パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る手口である。単純な手口ではあるが、成功すれば労せずしてパスワードやクレジットカードの番号等を入手することができる。

      • 清掃業者や運送業者を装い、構内へ侵入する。清掃業者や運送業者自身が、あるいはそのような業者を共犯にして、侵入する場合もある。
      • 偽装または盗み出した、あるいは拾得したIDカードや社員証を悪用し、入館システムを通過したり、警備員のチェックを受けずに侵入する。

具体的には、

      • 入室が許可されている従業者の後について、同伴人を装い認証を受けずに侵入する。
      • ディスプレイの横に貼り付けた付箋紙に記入してあるパスワードを盗み見たり、ビジネスフォンの横に貼り付けたメモ書きから担当者名や電話番号を盗み見たりする。
      • パソコンに向かっている操作者の背後に回り、入力しているパスワードを盗み見る(ショルダーハックとも呼ばれる)。
      • 不在者の机上に置かれた手帳や、重要な書類などを盗み見る。

 等といった手口が挙げられる。

※その他、エレベーターの中やオープンスペース、飲食店、喫煙所での会話も要注意である。悪意はなくとも、大声で社内に関することや、業務内容を話していれば否が応でも耳に入る。

3.SNS利用上のリスクを認識する

 外部からの攻撃の下調べとして、実名制のソーシャルネットワークサービス(SNS)が利用されるケースもある。特に近年では、SNSを用いて、システム管理者を装い「パスワードの有効期限が切れています。至急現在のパスワードを入力してください。」というメッセージを送信したり、友人であるかのように装い、重要情報を入手しようと試みる手口もある。国内でもFacebookやLinkedin等、実名登録制SNSの利用者が増えており、本名や勤務先を登録して公開しているユーザーが増えている。さらに、SNS上のメッセージで業務内容にかかわる書き込みをしていることも少なくない。

 ところが、SNS利用が攻撃者側にソーシャル・エンジニアリングを容易に行わせる原因ともなるということも認識しておく必要がある。SNSに機密情報を書き込んでしまうのは論外であるが、報道されてしまうような「炎上騒動」に発展する事故も多数ある。この点は多くの人が認識するようになっているだろうが、普通に使っているつもりでも、外部からの攻撃に悪用されるリスクが潜んでいるということを認識する必要がある。

 SNSのメッセージ機能を使って、不正サイトに誘導する手法も攻撃者にとっては有効である。攻撃者はSNSのアカウントを作成して、ターゲットに対して普通に友達リクエストを送る。いったん「友達」となれば、相手のページにメッセージを投稿できる状態になる。SNS上とはいえ友達関係にあるというだけで、リンクをクリックする心理的な障壁は下がる。さらに短縮URLを使うと、サイトURLの怪しさも隠せてしまう。

 SNSを利用する動機は「より幅広い人との交流を深めていきたい」、「新しいマーケット開拓のきっかけにしたい」というユーザーが殆どであり、積極的につながりを増やしていくことと、外部からの攻撃を回避しようとすることとの間で相反する使い方が求められるが、それは、利用者の自己責任でバランスを取ればいい、という簡単なものではない。例えば、情報を発信する術を手に入れたユーザーが一旦情報を出し始めると、他のユーザーからの反応やレスポンスがあると、より多くの情報を出し、ユーザーの関心を引こうとしたり、自分が人気者や情報通と勘違いしやすくなる。また、意見等への賛同者を求める傾向が強まり、反対意見の者を公然とバッシングしたりして、その過程で、更に別の情報や素材が持ち出され、本来書き込まれるべきではない種々の情報が、「活字」として、「オープンスペース」にもちだされてしまう。炎上といわれる事態が発生するのも然り、SNS推奨者の書き込みやツイートを見ていてもこの傾向が顕著であることは明白であろう。

 SNS利用には、自身の仕事や職務上の立場について記述する、実際の知り合いであると確証の取れないアカウントと友達関係になる、の2種類のリスクがある。

 企業・組織は従業員のSNS活用に対して、企業を狙う外部からの攻撃を認識するとともに、「どのようなことに注意すべきか」「どのような行為をしてはならないか」等の「企業姿勢」とともに、問題が発生した場合あるいは、発生する恐れがある場合の「行動指針」についてガイドライン等で明示しておくことが、企業のリスク対策上必要となる。

4.ソーシャル・エンジニアリングへの対策

 上記のように、ソーシャル・エンジニアリングの手口は多岐に渡り、悪意のある者がどのように不正に情報を入手しようとするのかを知っておくことも有効な防衛策のひとつである。日常的に注意を払うことに関して、各従業者が、必要最低限のモラルを守り、情報セキュリティに関する意識を高めることが重要となる。さらに、情報リテラシーやメディアリテラシーの効用、情報を発信するということはどういうことなのか、ネットメディアの特性やネットユーザーの心理など、多角的な意識付けや危機感の醸成が必要になる。

 企業・組織にとって個人情報や機密情報が重要であるとの認識は持っていても、ソーシャル・エンジニアリングの手口を知らなければ、いざというときに対応できない可能性がある。

 ソーシャル・エンジニアリングは、このような人間の特性を利用して正当なアクセス権を持つ人間を騙し、内部機密情報への正当なアクセス権を手に入れる。このように、正当なアクセス権を得て、攻撃者になった者に対しては、もはや今までの技術的対策のみでは防御しきれない。それに対する場合は、こういった手法をよく理解するとともに、継続的に教育・訓練や警戒心の喚起を行い、常に一定レベルの注意力を、社員ひとりひとりの働きかけにより維持することが有効である。

Back to Top