ソーシャルエンジニアリングという言葉をご存じだろうか?パスワードやIDを含む重要なデータを"社会的"な手段を使って入手することを指す。ゴミ処理場のメモから入手したり、電話を使って巧妙に相手を騙し入手したり、メールで知人を装ったり、公的機関と偽ったりとその手法は無数にある。プログラムを使って総当たりでIDやパスワードを入力して侵入する技術的な手法とは対照的だ。
標的型攻撃の多くが、巧妙に装ったメールが起点となっているが、知人や関係者を装い添付ファイルを実行させる点に関しては、この古くから存在する詐術"ソーシャルエンジニアリング"の応用である。その意味ではセキュリティインシデントの多くの部分に介在している要素だと言えるのだ。英国セキュリティベンダーのSophosは、オフィシャルブログにおいて、あらためて注意を喚起している。
"ソーシャルエンジニアリングはわれわれが潜在的に持っている弱みを悪用するもので、かなり高い効果を出すこともできる。適切なトレーニングなしには、阻止するのが難しい"と、社会的手法が人間自体をターゲットにするが故にセキュリティ上の限界を示していることを示唆している。
メールの受信者をターゲットにしたソーシャルエンジニアリングについては、"兵器"は無数にあるとその例を示している。
・行動に期限を設けるなど切迫感を出す
・受け取る人の会社のCEOなど重要な人からと思わせる
・メッセージを本物と見せるように、いま起こっているイベントについて言及する
・悪意あるURLを本物と見せるように誤魔化す
・報酬やプロモーションなどのインセンティブを提示する
たしかに、慌ただしい業務の中で偶然にも本人の環境と一致する話題の件名と、少々曖昧ながらも、期日が短く設定されたタスクと勘違いして添付ファイルを思わず開いてしまうということはあるだろう。
また、メールだけにとどまらないと対面や電話を使ったソーシャルエンジニアリングにも警鐘を鳴らす。たとえば職場にかかる電話もそうだ。"技術サポート"を名乗る電話が職場にかかってきて、企業が使っているOSの種類などを聞き出すことができれば、これは攻撃者にとって宝の山を見つけることにほかならない、と指摘している。その上で、ソーシャルエンジニアリングの罠にはまらないための心構えのいくつかを例示している。
・直感を信じる - 怪しいと思ったら、落ち着いて慌てて行動しないこと。そして状況を冷静に判断しよう。たとえば、電子メールが上司からと確信できないのなら、上司に直接聞いてみよう。
・電話でユーザー名とパスワードなどの機密情報を聞き出そうとする人がいたら、電話を切る。正当なカスタマーサービスや技術サポートスタッフは、ユーザー名とパスワードを聞き出すことはない。
・電子メールのリンクをクリックしたり、電子メールの添付ファイルをクリックしない。特に予期していないものについてはしないこと。攻撃者は簡単に知人や同僚と見せかけることができるということを知っておこう。
・自分がコントロールすること。自分に確信が持てないことを他人からさせられる状況は回避しよう。プレッシャーをかけてあなたに行動させる戦術は無視すること。
いくつかは、冷たい対応に見える人もいるかもしれないが、だからこそ人の心につけ込むのがソーシャルエンジニアリングとも言えるのだ。
