前回は、コンピュータやネットワーク機器、あるいは電子部品といったサプライチェーンを切り口にして、サイバースペースとミートスペース(現実社会)の接点について考察してみた。さらにもうひとつ、サイバー攻撃に際してミートスペースが関わってくる話を取り上げてみよう。

もっとも弱いリンクは人間

「サイバー・セキュリティについて考える上で、もっとも弱いリンクは人間である」というのが筆者の持論だ。技術的なセキュリティ対策を可能な限り講じていても、誰か一人が意図的に、あるいはうっかりしてドジを踏むだけで、そのセキュリティ対策が台無しになる事態は常に起こり得る。

たとえば、米国家安全保障局(NSA : National Security Agency)などがそうしているように、インターネットと物理的に切り離したセキュアなコンピュータ・ネットワークを、内輪限定で構築したとする。米軍のネットワークも、NIPRNET(Non-Secure Internet Protocol Router Network)とSIPRNET(Secret Internet Protocol Router Network)の二本立てになっていて、後者の方が守りが堅い。

なるほど、物理的に切り離せばインターネットからの直接の侵入は不可能になるかも知れない。ところが、USBメモリを初めとする各種のリムーバブル・メディアを使って、双方のネットワークの間を橋渡しさせてしまうような人が一人いれば、すべてはぶち壊しになりかねない。

その、本来ならあってはならないリムーバブル・メディアの往来にしても、あるいは標的型攻撃でしばしば見られる「怪しい添付ファイル付きのメール」にしても、はたまた攻撃者が用意したWebサイトへの誘導を企んだリンク付きのメールにしても、攻撃者が望む通りのアクションを相手にとらせなければ、目的を達成できない。ではどうやって?

そこで、ソーシャル・エンジニアリングという話が関わってくる。どういう「仕掛け」をすれば相手が乗ってくるかを考えるとか、相手に思い通りの行動をとらせるにはどうするか、とかいった類の話である。

ソーシャル・エンジニアリング

不特定多数が相手の攻撃なら、たとえばエロ関係のネタ、芸能関係のゴシップネタ、時事ネタなどで釣るという手がある。ところが、特定の企業や組織を標的とする場合には、もっと確実性の高いネタでないと釣れない、と考えるのが自然だ。

たとえば標的型攻撃ではしばしば、いかにも関係者から送られたかのように装うメールがばらまかれる。これも、業務上の連絡だと思わせて、相手にメールや添付ファイルを開かせたるための仕掛けだ。相手に望み通りの行動をとらせるには、相手が信じて、"乗って" くる状況を作り出さなければならない。

そこで真実味を持たせようとすれば、標的になった企業や組織が普段、誰と業務上の関わりを持っているかを調べて、その関係者を騙る必要がある。そして、騙る相手のメールアドレス・氏名・ポジションが分かっていないといけない。

さらに、メールの件名や添付ファイルのファイル名にまで気を使う必要があるだろう。騙ろうとしている差出人が属する組織が、ファイル名の付け方になにがしかのルールを設けているのであれば、そのルールから外れた名前の添付ファイルを送りつけたところで、相手が「何かヘンだ」と怪しんでしまう。

こういう話になるとインサイダー情報が占める比率が高くなりそうだ。だが、第58回で言及したような公開情報の収集・調査だけでも、ソーシャル・エンジニアリングのために活用できるようなデータはいろいろと手に入る可能性がある。

個人がそれと意識せずに垂れ流している「個人特定につながる情報」にしても、企業や役所などが必要に駆られて、あるいは法で定められた義務といった理由から公開している各種情報にしても、その辺の事情は大して変わらないだろう。

このほか、何か後ろ暗い話を抱えている人ほど、攻撃に対しては脆弱だ。違法行為でなくても、たとえば「大っぴらにするのが憚られるような趣味」でも充分に使える。そういう情報を調べ上げるのも、ソーシャル・エンジニアリングのうちだろう。

さらに念を入れるのであれば、ターゲットのことをよく知るというだけの話ではなく、心理学の領域に属しそうな話も関わってくる。その辺は、詐欺師の仕事に通じるところがあるようにも思われる。

やはり行き着くところはミートスペース

そういえば、本稿の執筆より少し前にベネッセの個人情報漏洩事件があり、その後にさっそく「個人情報を削除させる」と持ちかける詐欺が発生したと報じられた。

益体もない話だが、同じようなことは他の分野でも起こり得る。たとえば、「防衛関連企業を狙ったサイバー攻撃事案」のニュースが流れた後で、軍の関係者あたりを装って「標的型攻撃に御注意 !」と件名を付けた標的型攻撃のメールがばらまかれるような事件が起きても不思議はないだろう。

こういう話になってくると、サイバー空間とミートスペース(現実社会)の間には密接な関わりがあるのだという認識を新たにする。

前回に取り上げたサプライチェーンの話もそうだが、サイバー攻撃をより確実に、効率的に実施するには、ミートスペースをも活用する方がよい。だから、サイバー攻撃やサイバー防衛といった話をサイバースペースだけで完結する話と考えるのは、大間違いということになる。

よくよく考えれば当然だ。サイバースペースを構成しているのは、ミートスペースにいる生身の人間なのだから。

執筆者紹介

井上孝司

IT分野から鉄道・航空といった各種交通機関や軍事分野に進出して著述活動を展開中のテクニカルライター。マイクロソフト株式会社を経て1999年春に独立。「戦うコンピュータ2011」(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて「軍事研究」「丸」「Jwings」「エアワールド」「新幹線EX」などに寄稿しているほか、最新刊「現代ミリタリー・ロジスティクス入門」(潮書房光人社)がある。