Contents
目次
- 第1章 ソーシャル・エンジニアリングとは何か?
- 第2章 ソーシャル・エンジニアリング-基本的な心理戦術
- 第3章 ソーシャル・エンジニアリングのツール
- 第4章 ソーシャル・エンジニアの口説き文句
- 第5章 ソーシャル・エンジニアリング-ソーシャル・ネットワーク上の詐欺-昔と今
- 第6章 : ソーシャル・エンジニアリング-予防と対策
- おわりに
本書は、取り上げたトピックや問題に関して正確で信頼できる情報を提供することを目的としている。本書は、発行者が会計、公的に許可された、あるいはその他の資格のあるサービスを提供する必要はないという考えのもとに販売されている。法的または専門的なアドバイスが必要な場合は、その専門分野の実務家に依頼すること。
– アメリカ法曹協会の委員会と出版社および協会の委員会が同等に受け入れ、承認した原則宣言より
はじめに
昨今、銀行、企業、政府機関など、様々な組織の機密データや保護されたコンピュータ・システムを悪用するハッカーについて、多くの人々が知らなさすぎるようになっている。ハッカーについて耳にし、彼らの策略を阻止しようという気になることも少なくないだろう。ほとんどの組織は、防御を強化するための最新技術への投資を通じて、ハッカーの悪用に対抗している。
その一方で、専門知識を駆使して組織のソリューションやツールをすり抜ける新種の攻撃者もいる。この新種の攻撃者はソーシャル・エンジニアと呼ばれ、同様にハッカーとして知られているが、彼らの主な目的は人の弱点、つまり人間心理を利用することである。ソーシャル・エンジニアは、重要な機密情報にアクセスできるよう、ソーシャルメディアだけでなく電話などのメディアを利用して人々を騙す。
ソーシャル・エンジニアリングは、口実工作、フィッシング、見返り要求、餌付け、尾行など、さまざまな方法で実行される悪質な活動を幅広く含む。
Pretextingとは、ソーシャル・エンジニアリングの一種で、攻撃者がでっち上げの状況や口実を作り、それを使って個人情報を盗むことである。多くの場合、プレステクシングを使用する攻撃者は詐欺師と間違われ、ターゲットの身元を確認するために個人情報が必要であるかのように装う。
口実を利用したソーシャル・エンジニアリングの高度なスキルを持つ攻撃者は、組織にアクセスし、その構造的欠陥を悪用するために、ターゲットに特定の行動をとるよう説得しようとする。たとえば、攻撃者は外部の IT サービス監査人の形をとって、ある組織の物理的なセキュリティ担当者を操り、建物にアクセスできるようにしようとすることがある。
口実によるソーシャル・エンジニアリング攻撃は、ターゲットとの間に錯覚的な信頼感を作り出すことに依存する。そのため、攻撃者は機密と非機密の両方の情報を得ることができる。攻撃者グループがモデル・エージェンシーの代表者になりすまし、捏造したストーリーと面接の質問を作り出した事例がある。攻撃者たちは、自分たちのヌード写真を送るように操作した女性をターゲットにしていた。
フィッシング詐欺は、今日攻撃者が用いる最も一般的なソーシャル・エンジニアリングの一種と考えられている。フィッシング詐欺は、標的の名前、社会保障番号、住所などの個人情報を入手すること、恐怖、切迫感、脅威を組み込んで標的が素早く行動するよう操作すること、埋め込みリンクやリンク短縮機能を使って、正規または合法に見えるURLを通して標的を不審なウェブサイトにリダイレクトさせることなど、明確な特徴を持っている。
フィッシング・メールの中には、文法的な間違いやスペルミスがあるなど、巧妙に作られていないものもあるが、それでも標的を偽のウェブサイトに誘導することは可能である。フィッシングメールは、ターゲットのログイン認証情報やその他の個人情報を盗むことを目的としている。
フィッシング・メールを使用する攻撃者は、ユーザーの情報を得るために、マルウェアをフィッシングの手口と組み合わせることが多い。例えば、報告されている詐欺では、攻撃者がターゲットにフィッシング・メールを送っていた。ターゲットは、Google Play BooksからクラックされたAPKファイルをインストールするよう促された。しかし、そのファイルにはすでにマルウェアが仕込まれていた。
見返りは、ソーシャル・エンジニアリングのもう一つの形態である。これは、攻撃者が、ターゲットが特定の情報と引き換えに利益を受け取ると約束することを含む。攻撃者がターゲットに約束する利益は、モノではなくサービスという形である。
多くの場合、見返りを要求する攻撃者は、ITサービスを提供する詐欺師を装っている。攻撃者は通常、組織の直通番号にできるだけ多くのスパムコールをかけ、ターゲットにIT支援を申し出る。そして、ターゲットにAVプログラムを無効にするよう促しながら、あるIT問題の迅速な解決を約束する。ターゲットが同意すると、詐欺師はソフトウェアのアップデートの形をとったマルウェアをターゲットのコンピューターにインストールする。
また、攻撃者があまり巧妙でない見返りの策略を使うケースもある。例えば、攻撃者は多くの人々、特にオフィスワーカーがチョコレートや安いペンと引き換えにパスワードを喜んで共有することを知っている。
ソーシャル・エンジニアリングのもう一つの形態は、フィッシングや見返りと多くの点で似ている「おとり」だ。おとり商法を使う攻撃者は、オンライン・スキームを使ってターゲットを誘惑し、商品や品物と引き換えに不審なウェブサイトにログイン認証情報を明け渡すように仕向ける。多くの場合、攻撃者はターゲットに無料の映画や音楽のダウンロードを提供する。
しかし、おとり捜査はオンライン詐欺に限らない。この種のソーシャル・エンジニアリングを利用する攻撃者は、物理的なメディアを通じて人間の好奇心を利用することもできる。ある組織の創設者とそのチームが、トロイの木馬ウイルスの入ったUSBを組織の駐車場にばらまいたという事件があった。ほとんどの従業員は、好奇心からそのUSBを手に取り、パソコンやノートパソコン、タブレットなどのガジェットに差し込んだ。彼らがUSBを差し込むと、キーロガーが起動し、創業者は従業員のログイン情報にアクセスすることができた。
「ピギーバッキング」とも呼ばれるテールゲーティングは、ソーシャル・エンジニアリングの一形態で、組織内で適切な認証を持たない攻撃者が関与する。攻撃者は、制限された領域でアクセスを得るために従業員を尾行する。
尾行攻撃には、組織の駐車場で待機している配送ドライバーを装った攻撃者が関与することが多い。攻撃者は、従業員がセキュリティの承認を得ているのを見つけると、通常「配達物」を運んでいる攻撃者は、従業員にドアを押さえておくように頼む。こうして、建物に入ることを許可された人物からアクセスを得る。
ソーシャル・エンジニアは、ほとんどの大企業が従業員に身分証明書のスワイプを義務付けていることから、小規模な組織や企業でしばしば尾行を使う。しかし、中小企業の場合、攻撃者は従業員と簡単に会話し、セキュリティに親近感を示すことができる。
ある有名なセキュリティ・コンサルタントは、尾行を利用して、金融会社のデータ・ルームがあるビルの数フロアに侵入した。このコンサルタントは、情報を入手するために、数日間働いていたビルの3階の会議室にアクセスすることができた。
明らかに、ソーシャル・エンジニアリング攻撃は広範囲に及んでおり、様々な組織にとって甚大な脅威であると考えられている。ソーシャル・エンジニアリングは、組織の機密情報へのアクセスや知識を持つ人々を攻撃するため、ターゲットに年間数千ドル、いや数百万ドルの損害を与える可能性がある。今日、ほとんどの攻撃者は、ターゲットの職業情報や個人情報を入手するために、様々な手口やソーシャル・ネットワーキング・スキームを活用している。ソーシャル・エンジニアリングの攻撃を最も受けやすいのは、新入社員であり、次いで契約社員、人事部、エグゼクティブ・アシスタント、IT担当者、ビジネス・リーダーである。
残念なことに、ソーシャル・エンジニアリングに対抗するための意識向上や予防プログラムがない組織もある。さらに、ソーシャル・エンジニアリングの手口を防ぐためのセキュリティ・ポリシーや従業員教育を行っていない組織もある。
本書は、ソーシャル・エンジニアリングに関する貴重な情報を提供する。第1章では、ソーシャル・エンジニアリングとは何か、ソーシャル・エンジニアは何を求めているのか、そして攻撃者が使うさまざまな手口について学ぶ。本書の第2章では、攻撃者がソーシャル・エンジニアリングのスキームを実行するために使用する基本的な心理的戦術について、適切な情報を提供する。
第1章 ソーシャル・エンジニアリングとは何か?
ソーシャル・エンジニアリングとは、人間の心理を利用してシステム、データ、建物にアクセスする方法である。技術的なテクニックを使ったり、侵入したりする代わりに、ソーシャル・エンジニアリングは攻撃者が採用する非技術的なスキームを含む。例えば、攻撃者はターゲットや従業員に電話をかけ、ターゲットの会社のソフトウェアの脆弱性を見つける代わりに、ITサポート担当者に変装する。そして、攻撃者は標的を騙してパスワードを教えさせる。ソーシャル・エンジニアの主な目的は、特定の企業でできるだけ多くのターゲットの信頼を得ることである。
90年代、有名なハッカーであるケビン・ミトニックが「ソーシャル・エンジニアリング」という言葉を広めたが、人を騙して機密情報を漏らすという概念はすでに何年も前からあった。
ソーシャル・エンジニアの種類
ソーシャル・エンジニアリングには様々な形態がある。ソーシャル・エンジニアリングには、友好的なものから悪意のあるものまであり、標的を増長させたり、破滅させたりする。ソーシャル・エンジニアにどう対処するかを判断するためには、様々なタイプのソーシャル・エンジニアに関する知識を持つことが重要である。
ハッカー
ハッカーはソーシャル・エンジニアの中で最も人気があり、著名なタイプである。ソフトウェア・ベンダーが、よりハード化され、より破られにくいソフトウェア・システムを開発したとしても、ハッカーはそれを攻撃することができる。ハッキングを含むネットワークとソフトウェア攻撃の変数は、急速にソーシャル・エンジニアリングのスキルの一部になりつつある。多くの場合、この種のソーシャル・エンジニアは、個人的なスキルとハードウェアのスキルを組み合わせて使用し、世界中の小規模または大規模な侵害でハッキングを使用する。
侵入テスター
熟練したペネトレーション・テスターやペンテスターは、ハッキング・スキルを使って企業やターゲットのセキュリティ・システムに侵入するため、ハッカーとよく似ている。ペンテスターは、悪意のあるブラックハット技術を持つ者であるが、入手した情報をターゲットに危害を加えたり、個人的な利益のために使用することはない。
個人情報窃盗
個人情報窃盗とは、個人の名前、住所、銀行口座番号、社会保障番号、生年月日などの情報を、本人が知らないうちに利用することを指す。これは、制服を着て個人になりすますものから、より複雑な攻撃まで、幅広い犯罪である。ID窃盗団は、ソーシャル・エンジニアリング技術を駆使して、数々の手口を使う。今日、ID 窃盗犯はより独創的でユニークな手口を使うようになっている。
スパイ
スパイは、ソーシャル・エンジニアリングのスキルを生活の実質的な一部として使用する。人々である。彼らは通常、ソーシャル・エンジニアリングの原理を策略に用いる。スパイは、ターゲットをだましたり騙したりする様々な方法を教わるため、科学の専門家とみなされる。さらに、世界中のスパイがソーシャル・エンジニアリングの技術を教え込まれ、訓練されているので、信用を築き、ターゲットについてうまく聞き出すことができる。
不満を持つ従業員
多くの場合、不満や不満を抱いた組織のメンバーは、同様に雇用主に対して反抗的になる。さらに、ほとんどの雇用主は、従業員が自分の雇用を守るために懸念を隠しているため、従業員の不満を判断することができない。そのため、雇用主と従業員の関係は一方的なものとなる。残念なことに、雇用主や組織に多大な不満を抱くようになった従業員は、窃盗、破壊行為、セキュリティ違反などの悪質な行為を実行しやすくなる。
従業員が不満を持ち、ソーシャル・エンジニアリングに傾倒しているかどうかを見極めるために、雇用主が利用できるシグナルがいくつかある。
不満を持つ従業員は、頻繁に病欠の電話をしたり、何度も休暇を申請したり、半日で帰宅したりするような従業員が、組織における不正行為の常習犯である可能性が高いことをよく知っており、認識している。それゆえ、不満を抱えた従業員は、余計な仕事や作業、職務を始めたり、長時間働いたり、単に組織の上層部の注意を引こうとしたりする傾向がある。この種の行動は保護行動パターンと呼ばれる。
不正や詐欺を台無しにするような些細なこと、あるいは大きなことで従業員が動揺した場合、彼らは確かに不満を抱いており、ソーシャル・エンジニアリングの策略につながる可能性が高い。また、悪事が発覚したときに同僚が同情するように、組織や経営陣に対して否定的な発言をすることもある。例えば、不満のある従業員は、経営トップが腐敗している、不公平だ、感謝されていないなどと言い、他の従業員を励まそうとするかもしれない。不満を持つ従業員は、一旦捕まると、自分たちの悪行はトップマネジメントの従業員に対する不公平さに比べれば大したことはないと言うだけである。
不満を持つ従業員は、反社会的な一匹狼的性格を示す可能性が高い。この性格は先天的なものかもしれないし、そうでないかもしれないが、不満を抱えた従業員は犯罪を考え、計画し、実行するうちに一匹狼になる傾向がある。繰り返しになるが、こうした従業員は、自分たちの悪行をすべて組織や経営トップのせいにすることが多い。このような性格になるのは、従業員が職場や同僚、経営トップに対して絶えず不平不満を口にする場合である。最終的には、自分は孤独だと考えるようになり、反社会的になる。同僚に対して無愛想で冷たくなる。
不満を抱えた従業員は、ライフスタイルを不適切に変化させる可能性が高い。資産が急に増えたり、旅行が多くなったり、贅沢品を購入したり、実際の給与とは異なる海外の銀行口座を開設したりすることもある。このような場合、雇用主はこのような従業員がなぜそのようなライフスタイルを送れるのか注意すべきである。さらに、ソーシャル・エンジニアリング策略を実行する不満を抱えた従業員は、主にエゴと金銭に突き動かされている。
エグゼクティブ・リクルーター
リクルーターには、ソーシャル・エンジニアリングの側面とスキルをマスターすることが求められる。彼らは、様々な心理学的ソーシャル・エンジニアリングの原則とともに、聞き出すスキルの専門家になる必要がある。そのため、ターゲットの動機を理解し、見極めることに長けている。多くの場合、リクルーターは求人広告主と求職者の両方を攻撃する。
詐欺師
詐欺師としても知られる詐欺師は、貪欲さだけでなく、金儲けのためにターゲットの欲望や信念を引きつける可能性のある他の原則も引き受ける。詐欺師は、ターゲットが格好の餌食となるシグナルを見分ける能力を持っている。彼らは、ターゲットにとってたまらなく魅力的で「チャンス」に満ちた状況を作り出すことに長けている。
政府
政府はソーシャル・エンジニアとして見過ごされがちだが、統治する人々や彼らが伝えるメッセージをコントロールすることに長けている。ほとんどの政府は、権威、社会的証明、希少性を利用して、ターゲットを確実にコントロールできるようにしている。一方、伝達されるメッセージの中にはターゲットにとって有益なものもあることから、このソーシャル・エンジニアリングのスキルは必ずしも否定的なものではないと考えられている。加えて、政府はソーシャル・エンジニアリングの要素を利用して、メッセージの説得力、魅力、受容性を高めている。
セールスパーソン
営業マンはリクルーターと似ているが、それは彼らもまた多くの人間スキルの専門家だからである。多くのセールスの達人によれば、有能なセールスマンは人をコントロールするのではなく、そのスキルを駆使して顧客のニーズを見極め、そのニーズを満たすことができるかどうかを見極めるのだという。営業の技術には、引き出し、情報収集、心理原則、影響力など、さまざまな社会工学的スキルが含まれる。
心理学者、医者、弁護士
ほとんどの人は、これらの職業分野の人々がソーシャル・エンジニアに属していることを知って驚くかもしれない。このグループは、他のタイプのソーシャル・エンジニアが使うのと同じようなテクニックを使う。例えば、このグループは、引き出し、心理学的原則、尋問、適切な面接戦術を駆使して、クライアントやターゲットを自分たちが導きたい方向に誘導する。
したがって、医師や弁護士といった高学歴の専門家であろうとなかろうと、さまざまな分野でソーシャル・エンジニアリングの一面を見出すことができる。このことは、ソーシャル・エンジニアリングが科学でもあり、ソーシャル・エンジニアリングのスキルを応用して目的を達成するための方程式が存在することを示している。ある方程式を訳すと、「口実+欲への執着+操作=ターゲットが犠牲になる」となる。
ソーシャル・エンジニアの目標
ほとんどのソーシャル・エンジニアの主な目的は、ターゲットの個人情報を所有することである。多くの場合、ソーシャル・エンジニアは、コンピュータ・アカウント、個人データ、その他の機密情報にアクセスするために、企業のシステムにマルウェアをインストールする方法を見つける。場合によっては、ソーシャル・エンジニアは競争上の優位性につながる方法を探すこともある。ソーシャル・エンジニアにとって価値のある最も一般的なアイテムには、パスワード、キー、アカウント番号、アクセスカード、IDバッジ、あらゆる個人情報、コンピュータシステムの詳細、電話リスト、非公開URL、サーバー、イントラネット、サーバーに関する情報、アクセス権を持つターゲットの名前などがある。
ソーシャル・エンジニアリングの手口
残念ながら、ソーシャル・エンジニアリングに関連する悪用は非常に多い。攻撃者は、標的を騙して偽のウェブ・ページにアクセスさせたり、ドアを開けっ放しにしておいたり、悪意のあるコードを含む文書をダウンロードさせたり、あるいはUSBをコンピュータに挿入して標的の企業ネットワークにアクセスさせたりする。ソーシャル・エンジニアリングに関する典型的な手口には、以下のようなものがある:
友達になる:この手口では、ソーシャル・エンジニアがターゲットの信頼を獲得し、マルウェアを含む添付ファイルやリンクをクリックするよう促す。このマルウェアは通常、企業システムにとって有害な脅威を含んでいる。ソーシャル・エンジニアが企業システムへのアクセスを獲得し、マルウェアを通じてその弱点を見つけると、悪用を開始する可能性がある。例えば、ソーシャル・エンジニアはターゲットとオンラインで会話を始め、有益で機密性の高い情報を漏らすように仕向ける。
非個人的またはソーシャル・ネットワーク・スクワッティング。この手口は、ソーシャル・エンジニアがターゲットとターゲットの友人やその他の連絡先に、ターゲットの知り合いの名前を使ってツイートする。そして、ソーシャル・エンジニアはターゲットに、仕事のデータを提供したり、スプレッドシートを送ったりするなどの頼みごとをする。ソーシャル・エンジニアは、コンピュータ・システム上のあらゆるものを操作したり、なりすましたりすることができることに注意することが重要である。
インサイダーを装うこの手口では、ソーシャル・エンジニアがITヘルプデスクの請負業者や作業員を装って、ターゲットからパスワードなどの情報を入手する。ある企業の従業員を対象とした脆弱性評価の調査では、従業員の90%が、同僚を装った共犯者を信頼していた。そのため、共犯者は会社の個人情報やその他の機密情報を入手することができた。