連載
珈琲店マダムシルクのサイバー事件簿
第七話 初春 ラスト・リゾート(後編) 一田和樹 Kazuki Ichida

●マスターのワンポイントアドバイス
 ソーシャル・エンジニアリング

 ソーシャル・エンジニアリングというのは、IT技術を使わないハッキングの技術をさします。
 巧みな言葉で相手を騙して情報を聴き出すものから、架空の人物になりすまして相手の組織に入り込むなどさまざまな方法があります。
 よく使われる「オーバーザショルダー」という肩越しに相手の操作する画面あるいはキーボードをのぞき込んで、パスワードを盗む方法も、ソーシャル・エンジニアリングのひとつです。
 というとたいしたことがないように聞こえますが、リアルのハッキングでは相手を騙し、裏をかくことは攻撃を成功させるための大前提です。たとえば最新の技術を駆使し、どのような方法でも検知できない攻撃手法を用意したとしても、まず相手がそのサイトにアクセスしてこなかったり、ファイルを開かなかったりしたら攻撃は不発に終わります。
 ハッキングは、技術とソーシャル・エンジニアリングの両方があって、初めて効果的な攻撃が可能となります。
 以前、紹介したメールを使った標的型攻撃においても、そのメールがいかにも取引先あるいは知人からのものと見せかけなければなりません。第三話に登場した、「標的型面接攻撃」にいたっては、「面接」を申し込むこと自体がソーシャル・エンジニアリングになっていたわけです。
 ちょっと変わった攻撃方法として、狙った相手の会社にUSBメモリを落としておくという方法もあります。「社員賞与査定」など、思わず見たくなるような付箋をつけておくと、拾った社員がファイルを開いて感染させてくれます。
 技術力のある人は、ソーシャル・エンジニアリングの重要性を見落としがちです。そこがまたつけ込む隙になります。過去にさまざまなIT企業やサイバー軍需企業といったところが攻撃を受けて侵入を許してしまった事件の多くでも、ソーシャル・エンジニアリングを使った標的型攻撃は入り口を突破する際に重要な役割を果たしました。
 ソーシャル・エンジニアリングは、手法の性格上、防御が困難ですが、「ちゃんと確認する」というのが基本です。本人確認できない方法(電話、メール、LINEなど)でコンタクトがあり、なにかを要求されたら(情報を訊かれる、添付ファイルを開いて確認するよう求められるなど)、必ず本人確認をしましょう。もっとも確実な確認方法は本人に会うことですが、電話やコンタクトがあったのとは別の方法で連絡を取ってみることも有効です。急ぎでなければ、少し時間を置く手もあります。相手が複数に対して同じ攻撃を仕掛けていれば、どこかで誰かが気づく可能性があるからです。それまでなにも問題が出てきていなければ安全です。
「ちゃんと確認する」ことは基本かつ大事なのですが、手間と時間のかかることでもあります。ソーシャル・エンジニアリングは日常の当たり前の業務の中にうまく紛れ込んで来ることも多いので、全てに手間と時間をかけると業務効率が著しく悪くなります。利便性と安全性は相反するものなので、うまくバランスを取ってゆくことが重要です。



         10 11 12
 
〈プロフィール〉
一田和樹(いちだ かずき)
東京生まれ。経営コンサルタント会社社長、IT企業の常務取締役などを歴任後、2006年に退任。 10年、「檻の中の少女」 で島田荘司選 第3回ばらのまち福山ミステリー文学新人賞を受賞し、デビュー。 著書に『女子高生ハッカー鈴木沙穂梨と0.02ミリの冒険』『天才ハッカー安部響子と五分間の相棒』『キリストゲーム』『絶望トレジャー』など。 http://www.ichida-kazuki.com/ Twitter:@K_Ichida
Back number
第7話 初春 ラスト・リゾート(後編)
第7話 初春 ラスト・リゾート(前編)
第6話 晩冬 エストニア、東京(後編)
第6話 晩冬 エストニア、東京(前編)
第5話 晩冬 金融情報サービスの罠(後編)
第5話 晩冬 金融情報サービスの罠(前編)
第4話 二〇一六年冬 迷い道(後編)
第4話 二〇一六年冬 迷い道(前編)
第3話 二〇一六年秋 奇妙な面接者(後編)
第3話 二〇一六年秋 奇妙な面接者(前編)
第2話 二〇一六年 晩夏 SNS乗っ取り(後編)
第2話 二〇一六年 晩夏 SNS乗っ取り(前編)
第1話 二〇一六年 初夏 監視アプリ2
プロローグ&第1話 二〇一六年 初夏 監視アプリ