2018年5月28日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣
第3回 いかにしてハッカーはあなたを騙すのか - ソーシャルエンジニアリングのテクニック
凄腕のハッカーや国家的なサイバー軍だったら、どこにでも侵入できるハッキングツールを持っているのでしょうか。否、そんな映画のようなご都合主義のツールは存在しません。(筆者が知らないだけかもしれませんが)
たとえば、内部ネットワークに侵入しようと思っても、ネットワークの仕組みとしてグローバルIPアドレスのインターネット側からプライベートIPアドレスの内部ネットワークに直接アクセスすることは困難です。また、どんなシステムにも脆弱性があるわけでもありませんし、すべての脆弱性が侵入に利用できるわけでもありません。
ハッカーが目的を達成するため使うのは、コンピュータの技術だけではないのです。
人をハックするソーシャルエンジニアリング
ハッカーは目的を達成するために、人を騙す手法をしばしば使います。その手法は「ソーシャルエンジニアリング」と呼ばれるもので、人の心の隙間を狙った攻撃手法です。
このソーシャルエンジニアリングは、人の行動に影響を及ぼす行為であり「人をハッキングするための学問」という表現が似合うでしょう。いわゆる社会を研究する学問である「社会工学」を意味するソーシャルエンジニアリングとは異なるものです。
ハッカーはこのソーシャルエンジニアリングを、システムに侵入する目的や、そのための情報収集に活用します。
もしコンピュータの技術的に突破が困難なシステムがあったとしても、正規の手続きで何か1つでもそのシステムを使うことができる方法があるなら、ソーシャルエンジニアリングによって突破できる可能性があります。
正規の手続きができる人を騙して代わりにやってもらったり、正規の権限が得られるように騙して取り計らってもらうなどの方法を使います。未知の脆弱性を発見したり、多層防御のセキュリティ対策を突破するのに比べると、比較的容易にそのスキルを使うことができます。
以前紹介した標的型メールに使われる文面にも、ユーザを騙して添付ファイルを開かせたり、URLをクリックさせるためにソーシャルエンジニアリングの手法が使われています。
伝説のハッカーが得意とした手法
ソーシャルエンジニアリングでは、相手から機密情報を聞き出したり盗み出すために誘導質問を行ったり、誰かになりすますといった手法があります。そして、これらを成功させるためには事前の情報収集を欠かすことができません。
情報収集の方法は、インターネット上のWhois情報やSNSなどのWeb上の公開情報からその人物や会社を観察したり、ゴミ捨て場を漁るなどの実社会での情報収集まで多岐にわたります。
90年代前半に暗躍した伝説のハッカーとして知られるケビン・ミトニック氏は、システムへのハッキングも得意としていましたが、もっとも得意としていたのは誰かになりすまして電話を掛けてパスワードを聞き出したり、物理的に施設に侵入したりといったソーシャルエンジニアリングでした。
氏の著書「欺術」にもそのテクニックの数々が紹介されています。
ソーシャルエンジニアリングを題材とした競技も
CTF(Capture The Flag)と呼ばれる競技はサイバー空間でのハッキング技術を競うものが大半ですが、毎年8月にラスベガスで開催されるセキュリティ・カンファレンス「DEFCON」の中ではSECTFと呼ばれるソーシャルエンジニアリングを題材としたCTFがあります。
https://www.social-engineer.org/sevillage-def-con/the-sectf/
この競技は実在するAppleやボーイングなど米国の有名大手企業が攻撃先となり、参加者が事前に収集した情報に基づいて競技当日の制限時間30分で情報を盗み出します。参加者は観客の前で透明な防音ブースに入って攻撃対象に電話を掛け、その会社のセキュリティトレーニングの情報やWi-Fiの設定情報など、さまざまな情報を聞き出すのです。
対策は一筋縄ではいかない
国内でも2017年12月に大手航空会社が約3.8億円の被害を受けたビジネスメール詐欺(BEC: Business Email Compromise)は大々的に報道されたので覚えている方もいるかもしれません。
実際のリース代金の振り込みのやり取りのすぐ後に、攻撃者が送ってきた振込先変更の詐欺メールに騙され、別のところに振り込んでしまったというものでした。攻撃者は事前に盗聴などによって情報を収集し、抜群のタイミングで詐欺メールを送ったのです。
特定の事例だけであれば、ソーシャルエンジニアリングの対策も可能ですが、あらゆる人間の行動をハックしようとするソーシャルエンジニアリングすべてを技術的に対策することは難しいでしょう。
