このブラウザは、JavaScript が無効になっています。JavaScriptを有効にして再度、お越しください。
新規登録
ログイン
ログイン
ログインID
パスワード
次回から自動ログイン
パスワード再発行
Principle
Policy & Design
Operation
Counter Measure
About Us
TOP
Terminology
Links
▲
Operation
Operation
>> コンテンツ詳細
Title
ソーシャル・エンジニアリング
Category
Operation
Contents
2007年1月、ソーシャル・エンジニアリングを駆使した史上最大のオンライン詐欺が発生し、スウェーデンのNordea銀行から110万ドル(約9,825万円)が盗まれた。この詐欺師は、Nordea銀行の職員を装った電子メールを顧客に送付し、スパム・メール対策ソフトウェアをインストールするように指示しました。この電子メールを受け取った顧客のうち、250人が指定されたプログラムをダウンロードしてインストールしてしまいました。実は、このプログラムは、インストールされたPCから個人情報を収集するトロイの木馬でした。詐欺師は、収集した情報を基にNordea銀行のオンライン・バンキング・サイトにログインし、犠牲者たちの預金を盗み出したのです。
ある有名な情報セキュリティ理論では、「どのようなセキュリティ・システムでも、人が最大の弱点となる」と定義されています。サイバー攻撃が巧妙化するに従って、その防御策も進化していますが、人間の性質そのものは変わりません。攻撃者にしてみれば、総当たり攻撃で暗号化パスを解読したり、ソフトウェアの新しい脆弱性を発見したり、複雑なマルウェアを作成するよりも、ソーシャル・エンジニアリングの方がはるかに効果的で簡単なのです。前述した事件の詐欺師は、トロイの木馬を顧客にインストールさせるだけで、堅牢な金庫室に侵入することなく大金を手にしています。
人はだまされやすく、欲深で、好奇心の強い存在です。ソーシャル・エンジニアリングの手法は、このような人間の感情や理性を巧みに利用して、犠牲者からさまざまなものを詐取します。しかし、なぜ人はだまされてしまうのでしょうか。
著名なセキュリティ専門家であるブルース・ シュナイアー(Bruce Schneier)氏は、セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域があり、これらを研究することでセキュリティに対する人の意識のズレを解明できるとしています。神経科学、意思決定の心理、そして基本的な社会心理学の観点から、人がなぜソーシャル・エンジニアリングによって簡単にだまされてしまうのかを検討していきましょう。
社会心理学では、自身を取り巻く環境について結論を出す際に使用する知識の枠組みのことを「スキーマ」と呼ぶ。例えば、わたしたちは子どものころ、「他人に親切にすることはよいことだ」と教えられました。今では、こうして教えられたことを基に、人へ親切を行おうとします。それがスキーマです。
悪名高いクラッカーであるケビン・ミトニック(Kevin Mitnick)氏によると、攻撃者たちはこの点をよく理解しており、「相手の信頼を最大限に利用しながら、疑いの余地がまったくない要求」を行うという。ソーシャル・エンジニアは、わたしたちの社会的スキーマを悪用しているのです。
人がよく犯してしまう社会的過ちや判断と、ソーシャル・エンジニアがそれらをどのように悪用するのかを見てみましょう。
●基本的な帰属の誤り
わたしたちは、"他者の行動には当人の内面的な特性が反映されている"と考える傾向があります。つまり、誤った第一印象を持ちやすいということです。そこでソーシャル・エンジニアは、好感度の高い第一印象を熱心に作り上げます。そのほかの攻撃者も、何かを画策したり、相手に何かをさせようとするときには、相手に好印象を与えようとします。被害者は、相手が演技をしていることも、目的を達成するために攻撃者が状況に応じて態度を変えることにも、まったく気付きません。
●顕著性の効果
集団では、最も影響力の大きい人物、あるいは最も影響力の小さい人物に注目が集まるものです。ソーシャル・エンジニアは、周囲に溶け込む能力に長けており、自身に優位に働くように"顕著性の効果"を最大限に利用します。つまり、ビジネス・スーツを着こなして顧客を装ったり、作業服を着て作業員に成り済ましたりするのです。竹馬に乗って曲芸師の真似をするようなことはしません。外見に限らず、ターゲットの社内で使われている専門用語を使ったり、イベントや従業員の情報に詳しくなったり、地方の方言を使ったりすることもあります。
例えば、カリフォルニア州のソーシャル・エンジニアが、ボストンにある企業Aに侵入しようとします。彼はまず、赤ん坊の生まれた社員やライバル会社に転職した元社員のことなと、その会社の従業員でなければ知り得ない情報を入手します。そして、受付でこの話題をボストンなまりで話し出し、情報機器の修理を行うために事務所に入る必要があると訴えるのです。
●協調、従順、服従
人は自身の振る舞いを変えることで、協調・従順・服従から来る圧力に対応しています。ソーシャル・エンジニアリングの多くは、このような圧力に対する被害者の対応を予測します。
ある女性が、取引先の重役に成り済まし、若い警備員に対して入館許可証がなくても社内に入れてくれるように頼んだとします。警備員に何か謝礼をしたり、脅しをかけたりするかもしれません。不慣れで圧力に弱い警備員であれば、これに応じてしまうこともあるでしょう。
集団によるソーシャル・エンジニアリングの例もあります。例えば、数人のソーシャル・エンジニアが正社員に成り済まし、受付で「われわれの時間を無駄にするな」「早く仕事をさせろ」と何度も文句を言えば、受付係は社員に嫌われるのを恐れて、彼らを社内に入れてしまうかもしれません。
このほかにも、さまざまな手口があります。例えば、攻撃者が被害者と仲よくなる方法もあります。これはスパイがよく使う手口だ。まず攻撃者は、取るに足らない情報を得たいと被害者に近づきます。それから、少しずつ機密情報を引き出して、被害者を罠にはめていきます。被害者は、それまでの違法行為が明るみに出るのを恐れ、また脅迫されることを恐れて、次々と新しい要求に従うようになってしまいます。
資料
ホームページ
http://
担当者
コメント
記入者:
secu
Powered by NetCommons2
The NetCommons Project
