セキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップし、紹介する。今回の最初の話題はソーシャルエンジニアリングに関するもの。従業員の心の隙を突いた攻撃である。米マカフィーはブログで、様々な産業でデータ流出が相次いでいるが、いずれの場合も最初の感染経路には、共通して、従業員の潜在意識を利用する手法が使われていると指摘している。ソーシャルエンジニアリングを用いた何らかの手口が使われ、マルウエアの感染を助長する行動にユーザーを誘導する。

 公表されている多くのサイバー攻撃でソーシャルエンジニアリングの手口が普及していることは、不正なコミュニケーションを識別する被害者の能力に欠陥があるか、あるいはサイバー犯罪者がヒューマンファイアウオールを回避する、より複雑な手段を使っていることを示している。いずれにしろ、最前線に不備があることは確かだ。

 ただし不正侵入の原因がユーザーにあると非難するのは公平ではない。まったく安全性に欠ける慣習が実行されている一方、攻撃者は標的に気づかれずに、意識下に作用してユーザーを操る手口を使う。

 マカフィーがまとめた最新の白書「Hacking the Human Operating System」(PDF文書)では、ソーシャルエンジニアリングの概念、最近のサイバー攻撃で使われた手口、ユーザーの心理に働きかける手段、使用されるコミュニケーションチャネル、さらに、被害を低減するための対策候補などについて説明している。

 同白書は、ソーシャルエンジニアリングを提議し、認知度を向上するのにとどまらず、影響を最小限に抑える対策を提案することを目的としている。最前線の懸念を解消しなければ、今後もTwitterのタイムラインはデータ侵害の話題で溢れることになる。