マイナビニュースマイナビ

攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」

[2018/05/01 08:00]鈴木恭子 ブックマーク ブックマーク

入念に準備された成り済ましアカウントに、企業が対抗する策は?

特権IDを持つユーザーであれ、一般従業員であれ、その攻撃プロセスはほとんど同じだ。ビゲル-レビン氏はその順番を「1. ターゲットの物色」「2. 成り済ましアカウントの作成」「3. 攻撃」だと説明する。

ターゲットの物色には、FacebookやLinkedInのほか、ブログも有用だという。マネジャークラスのエンジニアは、技術に関するブログを開設したり、メディアなどに寄稿したりして情報を発信しているケースが多い。そのなかから人脈や行動範囲、嗜好性がわかるような書き込みに着眼し、「どのような特権IDが付与されている人物なのか」を判断するという。

こうした情報を基にターゲットを絞り込んだら、次は成り済ましアカウントの作成だ。ビゲル-レビン氏は「今の成り済ましレベルは、過去のそれとは比較にならないほど巧妙だ」と語る。

「例えば、架空の会社を(サイト上に)”設立”し、人事担当者のふりをしたり、過去にターゲットが参加した会議の事務局を装ったり、同業者のふりをしたりして『情報交換をしたい』と近づいてきます。ターゲットがだまされて返信したら、相手の警戒心を解くために、数週間かけて関係を構築するのです」(同氏)

信頼関係が構築できれば、あとは簡単だ。マルウェアが仕込んであるフィッシングサイトに誘導したり、緊急を装ってパスワードを聞き出したりすればよい。ビゲル-レビン氏によると、パスワードが盗取されたことに気がつかないターゲットも少なくないそうだ。

特権IDを持つユーザーの次に狙われやすいのは、新入社員である。「社内組織をよく理解していないので、成り済ましのアカウントが近づきやすい」(同氏)のだ。特にターゲットが勤める会社の人事担当者に成り済まし、全てのクレデンシャル情報を盗取するケースが多いという。

「人事部のふりをしてメールを送り、『新アカウントを設定する』『アクセス権限を設定する』としてパスワードを送らせます。あとは、プロビジョニングが終了するまで待ち、頃合いを見計らって、新入社員に成り済ましてアクセスすればよいのです」(ビゲル-レビン氏)

フィッシングメールのサンプル。大学の事務局を名乗り「緊急連絡」として特定のサイトに誘導している(出典:米RSA)

では、こうした攻撃に対し、企業はどのような対策を講じるべきか。ビゲル-レビン氏は「月並みですが」とした上で、「従業員教育の徹底」を挙げる。

「ほとんどの企業が、クレデンシャル情報やパスワードの取扱いについてポリシーを策定しているでしょう。しかし、それが正しく運用されていなければ意味がありません。従業員に対する教育は定期的に実施する必要があります。また、こうした教育と並行し、SNSの利用についても教育することが必要です」(ビゲル-レビン氏)

同氏は、業務に関する情報をどこまで公開するか/しないのかといったガイドラインの策定はもちろん、SNS経由でつながった人(アカウント)に対する”裏取り”なども徹底することや、自分がどのSNSを利用し、誰とつながっているのかを把握することも重要だとしている。

今年で27回目を数えるRSA Conferenceには、約5万人が参加した

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

RSA幹部が力説! 全社で確認すべきセキュリティ対策4つのポイント

RSA幹部が力説! 全社で確認すべきセキュリティ対策4つのポイント

ビジネス部門とセキュリティ部門が"同じ言語"でセキュリティ対策をディスカッションする必要がある。今のビジネス部門とセキュリティ部門の間には、「Gap of Grief(悲惨なギャップ)」が存在する――。こう語るのは、米Dell Technologies傘下の米RSAでシニアバイスプレジデント兼製品担当を務めるGrant Geyer氏だ。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
ページの先頭に戻る