あなたが勤務中、デスクの電話がふと鳴り、応対する。
あなた:「はい、XXXです」
相手:「システムの高橋(仮名)です。社内の端末についてセキュリティ・パッチを当てているのですが、XXXさんの端末だけ、うまくいかず直接ご連絡しました。使用しているPCのアップデートをかけたいのですが、操作をお願いできますか?」
あなた:「そうですか。わかりました。どうすればよいですか?」
~指示通り、設定画面などを開かせられる~
相手:「おかしいな、うまくいかないですね。私のほうで、リモートで操作しちゃいますので、マウスから手を放していただいていいですか。私が遠隔操作してセキュリティの更新をかけちゃいますね」
あなた:「わかりました」
相手:「遠隔操作したいので、念のため社員番号とログインIDとパスワードをお聞きしてもよいでしょうか……」
疑似攻撃はほぼすべて成功
こうしてあなたの個人情報は相手に渡る。これは、「ソーシャル・エンジニアリング」の簡単な手口の一例だ。そして、得た情報を手掛かりにサイバー攻撃や詐欺が行われることもある。
ソーシャル・エンジニアリングとは、総務省によれば「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法」と紹介されている。
その手口の例としては、以下の通りだ。
・関係者になりすました電話などによる聞き取り
・ショルダーハッキング(キー入力や画面を盗み見る)
・トラッシング(ゴミ箱をあさり、情報を集める)
上記の攻撃手法はあくまで、“例”であり、他にもメールによって悪意あるリンクを踏ませるなどの標的型メールといった手法も含まれる。
筆者は、企業の依頼を受け、当該企業に対し疑似的にソーシャル・エンジニアリングを用いた攻撃をしかけ、セキュリティホールを見つけるとともに社員への警鐘を鳴らす取り組み=ソーシャル・エンジニアリングテストを提供しているのだが、“ほぼすべて”成功している。なぜなら、ソーシャル・エンジニアリングの手法は多様かつ極めて巧妙だからだ。
暗号資産取引所ハッキング事件
最近の事例として、2018年、暗号資産取引所「コインチェック」が不正アクセスの被害に遭い、580億円相当の暗号資産(NEM)が流出したケースがある。
攻撃者は、SNS等を通じて同社のエンジニアを特定し、それぞれのエンジニアに対し、偽名で接触を開始。SNS上で交流を重ね、約半年間もの時間をかけて信頼関係を構築した。メール・コミュニケーションをする中でマルウェアを仕込んだメールを送付し、あるエンジニアがそれを開封したことで攻撃者の不正アクセスの足掛かりとなり、約580億円分の暗号資産を不正に流出させるに至った。
スパイ活動の手口と酷似
上記の手法で言えば、ビジネスSNSを見ることで、所属部署や担当業務が把握できる。また、名刺管理アプリでターゲットになり得る人物を検索してもよいだろう。
(続きは東洋経済オンラインにて→LINK)