攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」

[2018/05/01 08:00]鈴木恭子 ブックマーク ブックマーク

セキュリティ

近年、ネットワークに不正侵入するための情報を盗み取る「ソーシャルエンジニアリング」が巧妙化している。同攻撃は、システムの脆弱性を突くマルウェアを開発したり、新技術の”抜け穴”を研究したりといった技術的な専門知識がいらない。必要なのはターゲットの心の隙を突き、信頼させてだます「詐欺的テクニック」だ。

「技術を駆使して防御するのがサイバー攻撃なら、ソーシャルエンジニアリングを防御するためには攻撃者の心理を学び、『連中が何をしたいのか』『どういう手順でこちらを信用させようとしているのか』を理解する必要があります」

こう語るのは、米RSAで認証製品マーケティング担当シニアコンサルタントを務めるアイェレット・ビゲル-レビン(Ayelet Biger-Levin)氏だ。4月16日から5日間の日程で開催された「RSA Conference 2018」(米カリフォルニア州サンフランシスコ)で同氏は、エンタープライズを対象にした、最新のソーシャルエンジニアリング手法について解説。「特に特権IDを持つ管理者は、SNS(ソーシャルネットワーキングサービス)への何気ない投稿が攻撃者の”ネタ”になっていることを自覚してほしい」と訴えた。

米RSAで認証製品マーケティング担当シニアコンサルタントを務めるアイェレット・ビゲル-レビン(Ayelet Biger-Levin)氏

SNSのコメントまでチェックする攻撃者の執念

ソーシャルエンジニアリングでは、攻撃対象となるシステムの管理者権限を持つユーザーなどを特定して近づき、侵入に必要なパスワードやIDを盗み出す。ビゲル-レビン氏は、「ソーシャルエンジニアリングは、一種の心理戦。技術的な対策では防止できないという観点から考えれば、サイバー攻撃より深刻だと言えます」と指摘する。

2018年に米ベライゾンが公開した「データ漏えいに関する調査」によると、データ漏えいの原因となった攻撃手法のトップは、「盗取した正規の管理者権限を利用したハッキング」だったという。

「IDやパスワードといったクレデンシャル(信用)情報は、ダークウェブに行けばいくらでも購入できます。つまり、それだけのクレデンシャル情報が盗まれているということです」(ビゲル-レビン氏)

ソーシャルエンジニアリングが拡大した主な原因は、SNSの普及が大きい。Facebookの「基本データ」に詳細な職歴を書き込んだり、Twitterの「プロフィール」で所属部署を公開したりしているユーザーは少なくない。さらに、ビジネスでのつながりを目的としたLinkedInでは、具体的な肩書きや仕事内容を書き込んでいる人が大半だ。

ビゲル-レビン氏は、「攻撃するターゲットの所属部署や職務内容の書き込みにも目を光らせています。連中はターゲットが友達の投稿に対してどのようなコメントを残したかについてもチェックし、その行動を把握しようとしています。その上で、ターゲットが関心を持ちそうなプロフィールのアカウントを偽装し、接触を試みるのです」と説明する。

米シンクタンクのピュー・リサーチ・センターによると、米成人のネットユーザーの79%がFacebookを利用しているという。年齢別にみると、18~24歳では94%がYouTubeを利用しているとのことだ(出典:米RSA)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
3668
2
攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」
「SNSへの何気ない投稿が攻撃者の"ネタ"になっている」と語るのは、米RSA 認証製品マーケティング担当シニアコンサルタント アイェレット・ビゲル-レビン氏だ。本稿では、「RSA Conference 2018」で同氏が解説した最新のソーシャルエンジニアリング手法についてレポートする。
https://news.mynavi.jp/itsearch/2018/04/25/0425RSA_thumb.jpg
「SNSへの何気ない投稿が攻撃者の"ネタ"になっている」と語るのは、米RSA 認証製品マーケティング担当シニアコンサルタント アイェレット・ビゲル-レビン氏だ。本稿では、「RSA Conference 2018」で同氏が解説した最新のソーシャルエンジニアリング手法についてレポートする。

会員登録(無料)

注目の特集/連載
AI人材に必要なもの
エイプリルフールの舞台裏
セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
教えてカナコさん! これならわかるAI入門
RPA入門
PowerShell Core入門
パスワード管理アプリの選び方
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る