標的型攻撃は明確な目的を持って行われるケースがほとんどである。それらは巧妙に行われ、攻撃を受けている側も気が付かないことも多いと言う。そして、この標的型攻撃の根底には、人の心理をついて情報窃取を行うソーシャルエンジニアリングを用いた手法がよく用いられる。そのため、「標的型攻撃」に対処するためには、ソーシャルエンジニアリングについて理解を深めることが必要となる。
2014年2月28日 マイナビセミナールームにて「2014年版! 標的型攻撃対策セミナー」が開催される。その中で、「標的型攻撃対策に必要なソーシャルエンジニアリング」について講演を行う、アズジェント セキュリティ・プラス ラボ所長 駒瀬彰彦氏に話を伺い、ソーシャルエンジニアリングとは何かについて解説していただいた。
「2014年版! 標的型攻撃対策セミナー ~最近の事件から学ぶ、攻撃手口と運用留意点~」の参加申し込みはこちら(参加費無料、2月28日(金)開催、東京都千代田区、開場13:00~) |
人の心の隙間を付いて情報を入手する「ソーシャルエンジニアリング」
アズジェント |
ソーシャルエンジニアリングとは、システムに侵入するために必要な情報を、物理的、人為的手段によって入手する手法のことである。具体的には、メモを盗み見たり、成り済ましによる電話やメールでIDやパスワードなどの情報を聞き出したりするパターンなどがある。
「ただ現在では、物理的か人為的かは関係なく、人の心の隙を狙って情報を入手しようとする行為すべてをソーシャルエンジニアリングと定義すべきでしょう」(駒瀬氏)
その代表的な例として挙げられるものが、ソーシャルエンジニアリングを利用したフィッシングメールである。
心の弱みに付け込んだフィッシングメールの恐ろしさ
「フィッシングメールになんて引っかかるわけがない、と思う人もいるかもしれません。確かに、無作為に送られてくるフィッシングメールに、引っかかる人はほとんどいないでしょう。ですが、標的型攻撃で送られるフィッシングメールは、ターゲットとなる相手の心理に付け込んだものです。引っかかる可能性はかなり高いと思われます」(駒瀬氏)
例えば、採用募集を行ったタイミングで人事部に送られてきた履歴書や、営業部に届いたクライアントの新製品発表資料などがメールで送られてきたら、何も疑わずに開いてしまうだろう。
ソーシャルエンジニアリングを用いたフィッシングメールは、高度になればなるほど、内情に精通した内容が送られてくる。そしてそれは、業務に関するものだけとは限らない。
最近では、FacebookやTwitterなどのソーシャルメディアを利用する人が増えている。そしてプロフィールには、自分の勤めている会社や部署だけではなく、出身校や家族の名前まで開示している人も多い。もし、家族の名前を使ったメールが送られてきたら、それを無視できると自信を持って言える人はそうはいないだろう。
「現状では、来たものは開封してしまう可能性が高いと思って対策を考えなくてはなりません」(駒瀬氏)
このように、人の心理やミスに付け込んでくるソーシャルエンジニアリングに対抗するには「手法について知識を深めて、心構えをしておく必要があります」と駒瀬氏は語る。
「例えば、前述したケースについてあらかじめ知っておけば、似たようなメールが来た時にフィッシングメールの疑いを持つことができます。万が一、メールを開いてしまった場合でも、心構えができていれば対処も早くできます。ですから、より多くのケーススタディをしておくことが、対策につながるのです」(駒瀬氏)
2014年2月28日に開催される「2014年版! 標的型攻撃対策セミナー」では、駒瀬氏による事例に基づいたソーシャルエンジニアリングのケーススタディが紹介される予定である。標的型攻撃に対する備えとして、ぜひともチェックしていただきたい。
|
|
