「フィッシング」、「なりすまし」、「悪意のある実行ファイルが添付されたメール」――。一つひとつの攻撃手法はよく知られているが、これらの手口を組み合わせ、人間の心理の隙を突くように多段的な攻撃をしかけられると、犯罪の可能性に気づくことすらなくだまされてしまう。

 巧妙化の一途をたどる“ソーシャル・エンジニアリング”の手法を使ったサイバー攻撃を見抜き、被害を防ぐにはどうしたらよいのか、「ソーシャル・エンジニアリング・フレームワーク」の第一人者であるクリストファー・ハドナジー氏(写真1)に話を聞いた。

(聞き手は羽野 三千世=ITpro


まず、ハドナジーさんの経歴と現在の活動について教えてほしい。

写真1●米SOCIAL-ENGINEERのChief Human Hackerクリストファー・ハドナジー氏
写真1●米SOCIAL-ENGINEERのChief Human Hackerクリストファー・ハドナジー氏
[画像のクリックで拡大表示]

 ソーシャル・エンジニアリングを体系化した「ソーシャル・エンジニアリング・フレームワーク」を構築し、人々がソーシャル・エンジニアリングを使った犯罪の被害者になることを防ぐための啓蒙活動を進めている。ソーシャル・エンジニアリングに関する調査と、ソーシャル・エンジニアリングの手口に関する教育サービス、企業へのペネトレーションテストサービスを提供するSOCIAL-ENGINEER社の経営者でもある。

 私の経歴について話すと、大学ではプログラミングを専攻していた。COBOLやPascalといったプログラミング言語を扱っていたが、当時すでにこの分野の研究は斜陽化しており、私の興味の対象はむしろネットワークやセキュリティにあった。だから、卒業後はセキュリティ会社に就職した。

 ある時、所属するセキュリティ会社でソーシャル・エンジニアリングに関するテキストを作ることになり、私が担当になった。それ以前に、この手法について網羅的にまとめた資料はなく、私は手法を体系化することから始めなければいけなかった。こういう経緯で私が作り上げたのが、「ソーシャル・エンジニアリング・フレームワーク」である。