ここ数年のセキュリティ市場の動向を見ると,技術は着実に進歩している。セキュリティ技術者や開発者の努力が,「コンピュータ・セキュリティ」という実を結びつつあるといえよう。しかし,そういった技術的な進歩に比べて,人間が潜在的に持っている“セキュリティ・ホール”への対応はどうだろうか。まだまだ“パッチ”が十分に当たっているとはいえないようだ。コンピュータが産声を上げたころに,産業スパイやクラッカが使っていた「ソーシャル・エンジニアリング」がまだまだ通用してしまう。

 そこで今回のコラムでは,人間の心の隙(すき)を突いて重要な情報を引き出すソーシャル・エンジニアリングを取り上げたい。

 ソーシャル・エンジニアリングは,人間の心理や間違いを悪用して情報を引き出す手法であり,使われている手口は詐欺から派生しているものがほとんどである。その歴史は古く,まだ電話交換を人手で行っていた時代にさかのぼる。当時は,電話回線が混線することが少なくなかったので,交換手に回線が混線したとウソをついて,他人の支払いで長距離電話をかけるといった手口が横行した。

 そして時は流れ,コンピュータがビジネスの世界で使われるようになり,電話に匹敵するほどの情報インフラとなった現在では,ソーシャル・エンジニアリングは主にネットワーク侵入に利用されるようになっている。いくら強固なセキュリティ・システムを導入したとしても,人間が介在しないシステムはこの世の中にひとつとしてない。そのため,ソーシャル・エンジニアリングは依然として有効なのだ。

ソーシャル・エンジニアリングの具体例

 では,ソーシャル・エンジニアリングにはどういったものがあるのだろうか。以下に具体例と対策を挙げる。

(1)ID(身分)情報を盗む
  企業(組織)に所属する人物のID情報を盗み,ネットワークに侵入したり,企業内の人物へ接触したりするための情報として利用する。

 【具体例】
○ごみ箱をあさり,不用意に捨てられた書類などを入手する(「トラッシング」と呼ばれる)
○企業が発行する「年間報告書」や「社員名簿」などを入手する
○IDカードを偽造する
 【対 策】
●書類の重要度を分類し,重要書類はシュレッダなどで処分する
●名前が外部に知られている人物については,企業内で特有の呼び名を使用する
●バイオメトリクス認証などを使用する

(2)ネットワーク情報やログイン・アカウントを盗む
  使用されているOSやプログラムなどのマシン環境の情報,ログイン・アカウントなどを盗み,目的のサーバーやネットワークに侵入するために利用する。この際,(1)で入手したIDを利用する場合が多い。

 【具体例】
○LAN管理者になりすまし,システム部の社員や一般ユーザーからシステム情報を聞き出す
○電話口で社員になりすまし,パスワードを忘れたと言ってコンピュータのログイン・アカウントを聞き出す
 【対 策】
●ID管理を徹底する
●システム情報については電話などでは伝えず,特別な手順(例えばフェイス・トゥ・フェイス)で伝えるように取り決める

(3)機密情報を盗む
  企業の製品情報や顧客情報等の重要機密を盗み出し,ライバル企業へ転売する。

 【具体例】
○経営コンサルタントになりすまし,企業の価値を評価するという理由で製品開発情報や経営戦略等を聞き出す
○ヘッドハンターになりすまし,社員にアプローチして査定をするという名目で業務や企業に関する機密を聞き出す
○雑誌の取材という名目で企業の内情を探り出す
 【対 策】
●企業内でトレーニングの機会を設けて産業スパイの手口を教育し,だまされないようにする
●警備員,監視カメラ等で物理的なセキュリティを確保する

“見かけ”にはだまされないように

 ソーシャル・エンジニアリングを行う「ソーシャル・エンジニア」というと,一般的には挙動不審な人物を想像しがちだ。しかし,上記の具体例にあるように,ターゲットとした人物と会話を交わしたり,直接会ったりする必要がある。そのため,一見して怪しい人物ではソーシャル・エンジニアリングは成功しない。逆に,人あたりのよい普通の人物であることがほとんどだ。また,電話によるソーシャル・エンジニアリングを行うのは,企業に関係する身近な人物であったりする。

 以前は,ソーシャル・エンジニアのほとんどが男性だったために,「ソーシャル・エンジニア=男性」のイメージが強いが,最近は女性のソーシャル・エンジニアも増加している。また,年齢も幅広い。見かけでソーシャル・エンジニアかどうかを見極めることは大変困難である。

 犯行目的もさまざまである。金銭目的の産業スパイの他に,単にクラッキング自体を楽しむ愉快犯や政治目的のソーシャル・エンジニアも存在する。多種多様なソーシャル・エンジニアが,いろいろな目的を持って活動している。自分に接触してくる人物の背景にはくれぐれも注意を払う必要がある。

 見かけでは判断が難しいソーシャル・エンジニアであるが,言動には以下のような共通点がある。

  • 自分の連絡先を教えたがらない
  • 相手をせかす
  • 脅迫めいた言葉を使う
  • 奇妙な質問をする
  • 機密情報を要求する

 これらのポイントに注意することは,ソーシャル・エンジニアかどうかを判断するための有効な手段である。

 ソーシャル・エンジニアリングを警戒することは,情報漏洩(ろうえい)を防ぐための重要なポイントである。セキュリティ・トレーニングなどで企業内への徹底を図るべきである。なぜなら,企業内の人間全員が古株の人間だということはなく,入ってから半年や1年といった人間が必ずいるはずだからだ。彼らは,企業全体を把握してはいないし,上司の顔すべてを覚えていることもないだろう。そのため,上司の名をかたったソーシャル・エンジニアが急な用件を彼らに押し付けて脅すことがありうる。あらかじめ,ソーシャル・エンジニアリングの具体的な手法と言動などを教育しておけば,そういった場合にも冷静に対応できるだろう。

 コンピュータ・ネットワークを優れた技術でセキュアにしても,それを利用する人間のセキュリティ・ホールをふさがなくては,せっかくの投資も水泡に帰してしまう。技術的な防御策も大切だが,人間面のセキュリティはさらに大切である。これについては,セキュリティ・トレーニングによって高めるしか方法はない。

田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。