"伝説のハッカー"が明かす、ソーシャルエンジニアリングの手口

アズジェントは5月24日、東京都台東区のヒューリックホールにてセキュリテイベント『進化する標的型攻撃。ヒューマンハッキングの実態 ～ソーシャル・エンジニアリングの第一人者が語る～』を開催した。

同セミナーでは、ソーシャルエンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏、アズジェントでセキュリティセンター フェローを務める駒瀬彰彦氏、さらには「伝説のハッカー」として名高いケビン・ミトニック(Kevin Mitnick)氏と、豪華講師陣が登壇。標的型攻撃で使われるソーシャルエンジニアリングの手法について事細かに解説した。

本稿では、自身の経験を交えながら攻撃者が繰り出す手口を具体的に紹介したケビン・ミトニック氏の講演、およびその後に行われた上記3者によるパネルディスカッションの内容をまとめてご紹介しよう。

16歳の時にUPSの配達員を装った結果……

「ソーシャルエンジニアリングを使えばサイバー攻撃は非常に簡単。最初のアプローチはメールやSMS、電話をするだけ。IPS(Intrusion Detection System)などの防御網を潜り抜ける必要がないし、足跡を追われる心配もない。ペネトレーションテストではほぼ100%の確率で攻撃に成功する」

ミトニック氏の講演はこのような説明から始まった。

ソーシャルエンジニアリングとは、「特定のコンピューターネットワークに侵入するために、コネや欺瞞や人心操作を使ってハッキングを行う手口」(ミトニック氏)である。信頼できる人間を装い、ターゲットとする組織の従業員や関係者に対してアプローチ。必要な情報を入手し、コンピューターネットワークに攻撃を仕掛ける。

講演を行ったミトニック氏は、米国で名を馳せたハッカーだ。1995年に、下村努氏の協力を得たFBIに捕まった際には大きなニュースになっている。

「16歳の頃にはすでに米UPSの配達員を装って、マルウェア入りのPCパーツをターゲットに運送した」とミトニック氏。パネルディスカッションでは、ハドナジー氏が「現在、UPSのユニフォームは繊維質から管理され、部外者の購入が許されなくなった。こうした対策ができたのは彼のおかげ(笑)」といったエピソードが披露されるなど、多くの逸話が詰まったイベントとなった。

プレゼントでパスワードを教えるユーザーも

「企業システムにはさまざまなセキュリティソリューションが導入されているが、本当に対策を施すべき対象はユーザーである」――ミトニック氏はこう主張する。

それを裏付ける例として、一般ユーザーにパスワードを教えてもらう実験を行ったときの結果を紹介。ペンを報酬にしてお願いしたところほぼ90%のユーザーがパスワードを教え、翌年、チョコレートに報酬を変えても70%のユーザーが教えてくれたという。

こうした話を引き合いに出し、ミトニック氏は、ユーザーを対象とした攻撃が、システムを対象とする場合と比べて圧倒的に簡単なうえ、低コストで済むことを改めて強調した。

社内ネットワークの情報をドキュメントのメタデータから収集

では、ソーシャルエンジニアリングでは、どういったところから"とっかかり"を掴むのか。ミトニック氏の講演では、その具体的な手口がいくつか紹介された。

最初に挙げられたのは、企業のWebサイトを調べること。一般的な企業サイトでは、電話番号やメールアドレスなどの連絡先だけでなく、取引先企業名、経営幹部の肩書き/氏名も掲載されている。それらの情報を基に従業員や取引先を装い、コンタクトをとることもあるという。

また、インターネット上に公開されている各種ドキュメントを収集し、そのメタデータから、ユーザー名やOS、使用しているソフトウェアの名称/バージョン名を表示するツールもあるという。収集するソフトウェアの情報には、Microsoft Office/PDFといったドキュメント系のみならず、「Flash、アンチウィルスソフトなども含まれる」(ミトニック氏)と言い、脆弱性が残ったソフトウェアを使用している端末をすぐに見分けられるため、"突破口"選びに役立つと紹介した。

講演では、このツールの利用例として、誰もが知る国内大手IT企業を指名して実行した結果も提示。OSとしてはWindows XPが最も多いことや、Acrobat Readerの古いバージョンを使っている端末があることに触れ、ターゲットとなるであろう端末も挙げた。氏は「この手法は100%合法なもの」と説明し、何ら特別な手段ではないことも強調した。