「標的型攻撃をするための下調べは、実名制ソーシャルネットワークサービス(SNS)をちょっと検索すればできてしまう」。この指摘を受けたとき、自分のSNSの使い方は大丈夫か不安を感じた。筆者は8月から10月にかけて、標的型攻撃をはじめとしたサイバー攻撃について取材した。取材結果は、ITproの特集「過激化するサイバー犯罪」や日経コミュニケーション12月号の特集「頻発する標的型攻撃、侵入されても漏らさない」にまとめた。このコラムでは、特集では扱いきれなかったSNSの活用とセキュリティについて考えたい。
国内でもFecebookやLinkedInといった実名制SNSの利用者が増えてきている。本名や勤務先を登録、公開しているユーザーは多いだろう。人によっては勤務先の部署名や役職、メールアドレスも公開しているかもしれない。SNS上のメッセージで仕事内容にかかわる書き込みをしていることも少なくない。
ところが、これが攻撃者側にソーシャルエンジニアリングを容易に行わせる原因になっている。日立システムズの本川祐治ICT基盤事業グループネットワークサービス事業部主管技師長は「米国では標的にすべき相手やメールアドレスを調べることを目的とした“散弾的”な標的型攻撃は少なくなっている」という。実名制SNSで相手の素性を調べられるからだ。
本来の標的型攻撃では、攻撃者は重要情報へのアクセス権を持った個人を狙う。その個人のパソコンにバックドアを設置するマルウエアを侵入させ、攻撃者は情報を窃取していく。マルウエアに感染させる手段としては、知人を装ったフィッシングメールなどがある。
実名制SNSが台頭する前は、特定組織の職員・社員の個人名や社内ポジション、その人の連絡先は外部からは分かりづらかった。そのため、攻撃者は攻撃対象をあまり絞り込まない「準標的型攻撃」を行って、標的型攻撃の実施前に事前調査を実施することが多かった。本川主管技師長の言う“散弾的”な標的型攻撃である。米国では実名制SNSが急速に普及したことで、攻撃者が準標的型攻撃を実施する必要性が減ったわけだ。
