「企業から機密情報を盗み出すのに技術的なスキルは必要ない。上手にうそをつければ盗み出せてしまう」――。元NSA(米国国家安全保障局)情報・コンピュータシステムアナリストで,現在は米Hewlett-PackardのChief Security Strategist(最高セキュリティ責任者)のIra Winkler氏は6月3日,セキュリティに関する展示会およびカンファレンスである「RSA Conference 2003 Japan」の席上,ソーシャル・エンジニアリングの危険性を訴えた。
ソーシャル・エンジニアリングとは,ユーザーをだますなどして,パスワードをはじめとする重要な情報を収集する手口のこと。ソーシャル・エンジニアリングを使えば,ネットワークやコンピュータの知識がなくても,機密情報を収めた企業内のサーバーへアクセスできるという。以下,同氏の講演内容をまとめた。
電話一本で情報を盗める
ソーシャル・エンジニアリングの典型的な手法は,電話で情報を聞き出すことだ。上司やシステム管理者などになりすまして,ユーザーのパスワードやモデムの電話番号を聞き出す。ほとんどの場合,簡単に教えてくれる。それというのも,人は誰かを助けようとするものだからだ。頼ってきた相手に対して,応えてあげようとする。この親切心を逆手にとれば,簡単に聞き出せてしまう。
上司になりすまして,電話口でまくしたてることも,情報を聞き出す際には効果がある。また,仕事の終わる時間に電話することも効果的だ。早く家に帰りたいので,詮索することなく求められた情報を教えてしまう。
電話に限らず,攻撃対象とする企業のオフィスに何食わぬ顔をして入っていき,情報を収集する方法もある。パソコンにIPアドレスやユーザーのパスワードが張ってある場合には,オフィスを一回りするだけで,アクセスに必要なたくさんの情報が簡単に盗めてしまう。
オフィスから出されるゴミも情報源となる。80年代後半,あるクラッカ集団は,米国のある電話会社のシステムへの不正アクセスに成功し,電話システムを“支配”することに成功した。彼らは技術に優れた天才集団などではない。電話会社のゴミをあさっただけだった。しかし,ゴミの中には重要な情報がたくさん含まれていたために,彼らはシステムを支配することに成功したのである。
重要な情報を印刷した書類は,タイプミスなどがあれば,無造作にゴミ箱に捨てられてしまう。そこから重要な情報が漏れているとは,捨てている本人は全く気がつかないのである。
攻撃者からターゲット(被害者となるユーザー)へ電話をかけるのがソーシャル・エンジニアリングであるのに対して,ターゲットからの電話を待つ「リバース・ソーシャル・エンジニアリング」というものもある。
例えば,オフィスに侵入して「ヘルプデスクの電話番号が変更になりました。困ったことがあったら××番にかけてください」というチラシを,社員の机に張っておく。変更後の電話番号には,攻撃者の電話番号を記しておく。後は連絡があるのを待つだけだ。連絡があれば,相手は攻撃者をヘルプデスクの人間と信じているので,システムに関する情報をいくらでも教えてしまう。この手法では,相手からいつ電話がかかってくるか分からない。何日間どころか,何週間,何カ月間も待たなければいけないかもしれない。しかし,電話がかかってくれば,攻撃者にとって得るものは大きい。
ソーシャル・エンジニアリングの危険性と知識を共有
企業にとって大きな脅威であるソーシャル・エンジニアリングに対抗するには,社員全員への教育が不可欠である。「ソーシャル・エンジニアリングにはどういうものがあるのか」「ソーシャル・エンジニアリングはどのぐらい危険なのか」――といった知識を,社員全員で共有する必要がある。
例えば,「パスワードを電話で教えてはいけない」ことを規則に盛り込み,周知させ守らせるようにする。守らなかった場合の罰則も設ける。ヘルプデスクなどが,パスワードといった重要な情報をどうしても電話で知らせる必要がある場合には,相手の部署を確認してコールバックするようにする。
また,パスワードを聞き出そうとする電話があったら,セキュリティ担当の部署に連絡するように周知させておくべきだ。
企業の重役に聞くと,「うちの社員はパスワードを電話で漏らすようなことはしない」などと言うものの,実際に試してみると,簡単に教えてしまうのが実情なのである。セキュリティ担当者はソーシャル・エンジニアリングの危険性を理解し,全社員に周知徹底させなければならない。
(勝村 幸博=IT Pro)
