人の脆弱性が一番のターゲット

前回は、攻撃者側の立場からリスクと対価を踏まえながら昨今のサイバー攻撃の傾向をご紹介した後、対策の現状についても簡単にご紹介しました。

内容を整理すると次のようになります。

  1. 犯罪者(攻撃者)は目的を持ってターゲットを攻略する
  2. サイバー攻撃は簡単、迅速、安価で隠れやすい。犯罪者にとって物理空間より”割が良い”
  3. 企業側では、サイバー攻撃の対策製品(モノ)は数多く導入されている

企業に対策製品が導入されている中で攻撃者がターゲットを攻略するためには、次の2つのうちのいずれかを選ぶことになるでしょう。

  1. ITセキュリティの穴(システム不備や脆弱性)を突く
  2. 人の脆弱性(オペレーションミス、設定忘れなど)を突く

この2つを比較してみましょう。

前述のとおり、企業においては、良きにつけ悪しきにつけ「モノ」に頼った対策はされています。モノを迂回するのであれば、攻撃者はそれらがどのようなモノなのかを探り、脆弱性を調べ、そこを突く攻撃手法を模索することになります。

一方で、人の行動というのは、いくら教育したり注意したりしても、完璧にはなりません。同じ手法で攻撃し続けても、オペレーションミスや設定忘れ(うっかりミス)などにより、攻撃できる可能性があるのです。また、少し攻撃に手を加えるだけで被害に遭う可能性が高まったりします。

犯罪者にとってどちらが”割が良い”のか、答えはおわかりですね。

[余談]どんどん高度になるオレオレ詐欺の手口

人の脆弱性を突くと言えば、物理世界のオレオレ詐欺が代表的でしょう。

警察や自治体が大々的なキャンペーンを張って防止を訴える中、オレオレ詐欺グループ(どのぐらいの数があるのかわかりませんが)は次々に新しい方法を考えます。

この原稿を書いている時点でも、以下のような新たな手口で、100万円の被害に遭った方がいると報じられています。

  1. 息子(を名乗る人物)から「桃を送るからね。明日農園から連絡があるから」と電話がある
  2. 翌日農園(と名乗るところ)から電話があり、送り先として住所を聞かれる
  3. 30分後に息子(を名乗る人物)から「会社の金を使い込んだ」と電話がある。自宅近くに人をやるので、お金を渡してほしいと頼まれる
  4. なぜか自宅近くに現れた男にお金を渡すことになる

大筋では今までのオレオレ詐欺と変わりませんが、いきなり息子(を名乗る人物)が「会社のお金を使いこんだ」というのではなく、「桃を送る」から始まり、農園従業員という一見まったく関係のなさそうな人物が住所を聞き出すところにポイントがあります。

被害に遭った方も、もしかしたらオレオレ詐欺に対する知識があり、従来の手口であれば引っかからなかったかもしれません。

ここまでいくと、心理戦の様相を呈してきていると言えます。犯罪グループは「人の脆弱性」を突いてきているわけですね。

この手口はすでにニュースになりましたので、使いづらくなっているでしょう。ですが、それはつまり、オレオレ詐欺グループがまた新たな手口を編み出すということを意味します。

人間関係を築いて攻撃するソーシャルエンジニアリング

オレオレ詐欺のコラムからもわかるとおり、「人の脆弱性を突いた攻撃=高度な心理戦」と考えるのが正しいでしょう。

では、具体的にどんな攻撃があるのか。直近で話題に上がった例をご紹介します。

1つ目はソーシャルエンジニアリング攻撃と呼ばれる手法です。メディアでも度々報道されているのでご存知の方もいらっしゃるでしょう。

いろんなパターンがありますが、典型的なものを簡単にまとめると以下の図になります。

前述のとおり、攻撃者は自分がターゲットとした情報を盗み出すという明確な目的があります。

このケースでは、攻撃者はSNSなどから、ターゲット企業の管理権限を持った社員を特定し、数ヶ月もしくは半年をかけてメールなどで交流を重ねて関係を築いていきます。

ポイントは、相手を完全に信用させるところにあります。攻撃者は頃合いを見計らって犯行に及びます。このケースでは、ウイルスを仕込んだメールを送付し、必要な情報を詐取しました。

被害者に瑕疵はない!?

注目したいのは、攻撃メールに添付されたファイルを開いたことが、不注意や問題行為に該当する可能性が低いということです。

被害者からすれば、過去にやりとりのある人からメールを受け取ってファイルを開いた、というごくごく一般的な行動をしたまでです。見覚えのないアドレスから届いた、業務にまったく関係のなさそうな外国語の(あるいは変な日本語の)メールであれば気付きもするでしょうが、そうではないのです。

たしかに、ターゲットとされる企業のセキュリティ対策がどうなっているか、高度なセキュリティ対策製品を導入しているのか、導入していたとしてもきちっと運用されているのか、といった議論の余地は残ります。ひょっとすると、高度なセキュリティ製品が上げてくるアラートをしっかり監視する体制があれば、ファイルを開いた時点でウイルス感染に気がつく余地があったかもしれません。

もちろん、さまざまな攻撃の方法がありますし、企業がどのようなセキュリティ対策や運用をしているのかは不明ですので、あくまでも想像の域を出ませんが、そう簡単に防げるものではないことは確かでしょう。これまでとは違った角度から対策を考える必要があると言えます。

*  *  *

人の脆弱性を突く攻撃のもう1つの例として、BEC(Business Email Compromise : ビジネスEメール詐欺)をご紹介したいのですが、こちらは次回にしましょう。

著者紹介


村上 雅則(むらかみ まさのり)
――マクニカネットワークス営業統括部 セキュリティサービス営業部 部長代理

1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。

現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、お客様のセキュリティ運用における課題解決のため、セキュリティ調査運用サービスのご提案に従事する。