攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」

近年、ネットワークに不正侵入するための情報を盗み取る「ソーシャルエンジニアリング」が巧妙化している。同攻撃は、システムの脆弱性を突くマルウェアを開発したり、新技術の”抜け穴”を研究したりといった技術的な専門知識がいらない。必要なのはターゲットの心の隙を突き、信頼させてだます「詐欺的テクニック」だ。

「技術を駆使して防御するのがサイバー攻撃なら、ソーシャルエンジニアリングを防御するためには攻撃者の心理を学び、『連中が何をしたいのか』『どういう手順でこちらを信用させようとしているのか』を理解する必要があります」

こう語るのは、米RSAで認証製品マーケティング担当シニアコンサルタントを務めるアイェレット・ビゲル-レビン（Ayelet Biger-Levin）氏だ。4月16日から5日間の日程で開催された「RSA Conference 2018」（米カリフォルニア州サンフランシスコ）で同氏は、エンタープライズを対象にした、最新のソーシャルエンジニアリング手法について解説。「特に特権IDを持つ管理者は、SNS（ソーシャルネットワーキングサービス）への何気ない投稿が攻撃者の”ネタ”になっていることを自覚してほしい」と訴えた。

SNSのコメントまでチェックする攻撃者の執念

ソーシャルエンジニアリングでは、攻撃対象となるシステムの管理者権限を持つユーザーなどを特定して近づき、侵入に必要なパスワードやIDを盗み出す。ビゲル-レビン氏は、「ソーシャルエンジニアリングは、一種の心理戦。技術的な対策では防止できないという観点から考えれば、サイバー攻撃より深刻だと言えます」と指摘する。

2018年に米ベライゾンが公開した「データ漏えいに関する調査」によると、データ漏えいの原因となった攻撃手法のトップは、「盗取した正規の管理者権限を利用したハッキング」だったという。

「IDやパスワードといったクレデンシャル（信用）情報は、ダークウェブに行けばいくらでも購入できます。つまり、それだけのクレデンシャル情報が盗まれているということです」（ビゲル-レビン氏）

ソーシャルエンジニアリングが拡大した主な原因は、SNSの普及が大きい。Facebookの「基本データ」に詳細な職歴を書き込んだり、Twitterの「プロフィール」で所属部署を公開したりしているユーザーは少なくない。さらに、ビジネスでのつながりを目的としたLinkedInでは、具体的な肩書きや仕事内容を書き込んでいる人が大半だ。

ビゲル-レビン氏は、「攻撃するターゲットの所属部署や職務内容の書き込みにも目を光らせています。連中はターゲットが友達の投稿に対してどのようなコメントを残したかについてもチェックし、その行動を把握しようとしています。その上で、ターゲットが関心を持ちそうなプロフィールのアカウントを偽装し、接触を試みるのです」と説明する。