サイバー攻撃の手口として、人間の脆弱性を狙う手法は多用される。思い込みや油断、隙を突くソーシャル・エンジニアリングで個人情報を収集し、攻撃の糸口とするのだ。この記事では、デジタルとリアル双方で高まるソーシャル・エンジニアリングの脅威、そしてその手口と事例を踏まえ、対策を解説する。
ソーシャル・エンジニアリングとは
「ソーシャル・エンジニアリング(Social Engineering)」を直訳すると「社会工学」であるが、一部の大学にこの名称を冠する学部・学科が存在するように、そもそもこの分野は学問として成り立っている。具体的には、社会全般における課題を工学的、論理的なアプローチから解決を目指す学術分野のことである。
一方で、犯罪手法としての意味合いもソーシャル・エンジニアリングには含まれている。手法自体は古くから存在し、かつては「ソーシャル・ハッキング」と呼ばれることもあった。インターネットとの親和性もあり、その攻撃手法は多様化し、現在ではソーシャル・エンジニアリングと呼ばれるのが一般的になっている。
ソーシャル・エンジニアリングはターゲットとなるユーザーの社会的な関係性を悪用する点が特徴で、例えば、上司や情報システム部門、あるいは取引先などになりすまして情報を聞き出す、あるいは巧妙にターゲットと新規の関係性を構築して、長期間かけて情報の詐取を企むことすらある。
すなわち、なりすましや不正アクセスなど、デジタル・リアルを問わず、ユーザーの行動の隙を狙って情報を収集し、詐欺行為につなげるための手法がソーシャル・エンジニアリングと言える。こうした手法は、攻撃者の常とう手段の1つとなっている。
ソーシャル・エンジニアリングとサプライチェーン攻撃
近年、大手企業ではセキュリティ対策が積極的に進められており、攻撃者にとってサイバー攻撃の難易度が上がっている。そのため、攻撃者は中小・零細企業を経由して取引関係がある大手企業への侵入・攻撃を目指す「サプライチェーン攻撃」と呼ばれる手法を多用するようになっている。しかしながら、中小・零細企業では予算や人材の面からも、大企業のようにセキュリティ対策を充実させることが困難な場合も多く、攻撃者としては侵入の糸口が掴みやすく、ターゲットとして狙われやすいのだ。
ここでの「サプライチェーン」とは、原材料の調達から商品製造、そして物流までの一連のプロセスを構成する企業群のことを指す。サプライチェーン攻撃とは、この「チェーン」上の企業と企業の結びつきに入り込む攻撃と考えるとわかりやすい。一般的に言えば、サプライチェーンのチェーンが長いほど、攻撃対象の企業数が増えるため、セキュリティ対策が十分ではない企業が存在する可能性も高まるものだ。
例えば、企業間の取引に関するやり取りが、一般的なメールで恒常的に行われている場合、そのメールのやり取りに紛れ込むことができれば、受信者は疑うことなくメールを開封してしまうだろう。こうした企業間の関係性を悪用する方法も、ソーシャル・エンジニアリングの1つとみなすことができる。
メールサーバーに侵入してサーバー内のメール情報を解析し、既存のやり取りに侵入してマルウェア感染を狙う標的型メールのような攻撃が、大手企業だけでなく、中小・零細企業にも向けられているのだ。
ソーシャル・エンジニアリングの主な手口
ソーシャル・エンジニアリングでは、攻撃者は詐欺を実行するために必要な情報を収集する。具体的には、ターゲットとする企業の情報や担当者の個人情報をはじめ、使用しているアカウント情報、取引先情報やネットワークの構成、管理者情報など、さまざまな情報を積み上げて目的を遂行しようとする。以下にソーシャル・エンジニアリングで用いられる主な手口を紹介する。
1)関係者になりすましての聞き取り
電話やメールで、関係者になりすまして「パスワードをなくしてしまったので、もう一度教えてください」といって聞き出すような手口だ。単純な手法ながら、知人から送られたメールに偽装されていれば、容易に騙されてしまうものだ。パスワードのような秘匿性の高いものは教えないという意識があっても、氏名・電話番号・誕生日といった情報を安易に答えてしまうケースは少なくないだろう。
2)スピアフィッシング攻撃
「スピア(Spear)」とは「槍」を意味することから、槍を突き刺すように相手に狙いを定めるのが「スピアフィッシング攻撃」である。攻撃の目的はフィッシング詐欺同様にユーザー情報の詐取だ。攻撃手法としては、メールを相手に送りつけ、フィッシングサイトへ誘導する、あるいはキーロガーなどのマルウェアをインストールさせる場合もある。
3)ショルダーハッキング
いわゆる「のぞき見」と呼ばれる行為だ。ユーザーがパスワード・重要情報などをキーボードから入力している様子や、ディスプレイの表示内容を背後や隣などから盗み見て、入力情報を収集する。肩越しにのぞき見する様子から、こうした名称がつけられている。
4)マルウェア感染(スパイウェア)
スパイウェアとは端末内にある情報を盗み取り、その情報を攻撃者へ不正に送信するマルウェアのことだ。スパイウェアによって、IDやパスワードなどの認証情報やクレジットカードをはじめとした決済情報が漏えいしてしまうと、なりすましや金銭的な被害に発展する危険性も高い。
5)トラッシング(ゴミ漁り)
パスワードや機密情報などが書かれた印刷物を、ゴミのなかから漁り出す行為のこと。印刷されたファイルをシュレッダーにかけず、そのまま可燃物として捨てている企業・組織の場合、そのゴミの中から重要情報を見つけ出せる可能性があるためだ。
6)リバース・ソーシャル・エンジニアリング
ソーシャル・エンジニアリングが攻撃者からユーザーへ能動的に攻撃を仕掛けるのに対して、ユーザーからのアクションを促す手法がリバース・ソーシャル・エンジニアリングだ。例えば、「サポート窓口のメールアドレス(電話番号)が新しく変更されました」というようなメールをユーザーに送付し、ユーザーの連絡を要求するといった手口がある。
7)SNSの悪用
ある人物になりすまし、SNS経由で接近して情報を詐取する手法もある。時間をかけて関係性を醸成していくため、ターゲットに警戒心を抱かせることなく、メッセージやメールを受け取らせることも可能となる。
ここで挙げた手口は、ほとんどの場合、単独で用いられるのではなく、組み合わせて実行される。例えば、SNS経由で接近して勤務先、職務内容、メールアドレスの情報を取得。勤務内容に沿ったメール文面にファイルを添付して送り付ける。受信者が添付されたファイルを開封すると、スパイウェアがインストールされ、以降の勤務中のキーボードでの入力情報が筒抜けになってしまう、といった具合だ。
ソーシャル・エンジニアリングを用いた被害事例
近年のサイバー攻撃の巧妙化により、ソーシャル・エンジニアリングを用いた攻撃は増加傾向にある。以下に実際の事例を紹介していく。
1)2015年、年金機構の情報漏えい事件
年金機構に所属する、ある従業員に対して、外部のアドレスから政策に対する提言を装った件名でメールが送付された。このメールに添付されていたファイルを開封してしまったことで、端末がマルウェアに感染。不審な通信が生じたことから、感染端末を隔離して社内へ注意喚起を行った。しかし、この注意喚起は行き渡らず、社内ではその後も従業員に送付されたメールの開封が相次いだ。その結果、感染端末が複数台に及んだことから本格的な調査に乗り出し、年金加入者の個人情報が大量に流出していたことが判明した。
2)2018年、暗号資産取引所の通貨流出事件
攻撃者は暗号資産取引所運営会社において、システムの管理権限を持つ技術者を割り出し、犯行の半年ほど前からSNS経由で接触。時間をかけて交流を重ねる間、不審な行動を一切行わず、技術者の信用を得るに至った。十分な信用を得られたとの感触を得た攻撃者は、システム管理者にマルウェアを仕込んだメールを送信。不正アクセスの手がかりを得たことで、同社の暗号資産取引所から約580億円分の仮想通貨を不正に流出させるに至った。
3)2018年、県立病院における医師の個人情報流出
某県立病院の電話に事務員が応対。発信者は医師を名乗り、「研修医の氏名と電話番号を聞きたい」との用件を応対者に伝達した。病院の事務員は発信者の用件に応じ、当該情報を伝えた。後に上司がその電話応対に不審感を抱き、確認を進めた。その結果、医師を騙り、個人情報を盗むための電話だったと発覚。研修医である計52名分の「氏名および携帯電話番号」が漏えいした。
ソーシャル・エンジニアリング攻撃への対策
ソーシャル・エンジンアリングの手口は「詐欺」そのものであり、絶えず進化を続けている。そのため、対策として最も重要なのは、常に「警戒心を怠らないこと」だ。その前提に立って、以下に具体的な対策を紹介する。
取引先などとのやり取りに関するルールの策定
なりすましての聞き取りへの対策だ。電話やメールで氏名・メールアドレス・パスワード・電話番号などの個人情報、あるいは機密情報に関する質問を受けた場合、その場では回答しないようにする。事前にルールを定め、所定の方法、あるいは所定のフォーマットで回答するようにルール化したい。
入退出管理の徹底
なりすましやショルダーハッキング、トラッシングなどの手法に有効な対策だ。攻撃者を物理的に遮断することで、こうした手口の実行は困難となる。また、不審者が現場に立ち入れないように入退出管理を徹底することは、個人情報保護法でもルール化の対象とされている。
業務中、重要情報の取り扱い時は周囲を確認
ショルダーハッキングへの対策として、重要な情報を取り扱う際は周囲の確認を徹底するようにしたい。カフェや電車内など、人目に晒される場所では重要な情報は取り扱わないこと。また、コワーキングスペースや自社内など、執務スペースであっても、個人情報や機密性の高い情報を取り扱う必要がある場合は、周囲を確認しながら対応する必要があるだろう。
セキュリティソフトの導入
スパイウェアをはじめ、マルウェアが情報漏えいのきっかけとなるケースは少なくない。先述のように、スピアフィッシング攻撃などでは、ユーザーにキーロガーなどのソフトウェアをインストールさせる場合がある。例えば、 ESETセキュリティソリューションシリーズでは不審なソフトウェアのインストールを、動作監視によって抑止する機能が備わっている。また、フィッシング詐欺サイトなどへのアクセスも未然に遮断されるため、安全性を高めることができるだろう。
不審なメール、不審なファイルの取り扱い
不審なメールは未読のままゴミ箱へ、不審なファイルは削除するというのはセキュリティ対策の基本だ。これはソーシャル・エンジニアリングの対策でも変わらず、知人からのメールであっても不審なファイルと思しきものは開かないことが基本だ。開封する必要があるファイルの場合、手間がかかるが、一度送信元に電話などメール以外の方法で送付したファイルの内容を確認するのが安全だ。
シュレッダー処理・溶解処理等
パスワードや重要情報などが書かれた重要廃棄書類は、シュレッダーを用いて裁断して復元できないようにする、あるいは専門業者に溶解を依頼する。こうすることで、トラッシングはほとんど不可能となる。
離席時のパソコン・タブレット・スマホのロックを徹底
離席時に盗み見や操作を行って情報を窃取するのは攻撃者の常とう手段だ。Windowsパソコンであれば、離席時には「Windowsキー+L」のショートカットキーを使って画面ロックすることを習慣化するとよいだろう。スマートフォンやタブレットも、極力肌身離さないことを徹底し、万一のためにロックをかけるようにしておきたい。
重要情報の机上、共有スペースへの放置を厳禁
ショルダーハッキングはユーザーの肩越しに覗くというイメージを想起しがちだが、執務スペースのホワイドボード上に記載された情報、机上で開かれているノート、付箋に記された取引先の電話番号、パスワードなどを盗み見されることも該当する。入退室を厳格にすることで、部外者の入室はほぼ起こり得ないが、少なからず内部不正が起こる可能性も考慮した上で対策を講じるようにしたい。
SNS利用ルールの策定
LINEなどのSNSでのやり取りが一般化したことで、業務上のやり取りをLINEで行っているといった話はよく聞かれる。また、Twitterに業務に関する情報を投稿し、炎上してしまったといった事例は数えきれない。こうした事態を防ぐためにも、具体例を挙げながらルールを策定することが求められている。ただし、あまりにも厳格にルール化したことで、結果的にルール破りを常態化させてしまうことにもつながりかねない。状況によっては、代替ツールとしてビジネスチャットなどを契約して従業員に提供する必要もあるだろう。
万一を前提に、恒常的な備えを
デジタル化の進展で、企業間の取引に自動化は進んでいるものの、今後も人間が介在する余地は残り続けるはずだ。そうした余地が残される限り、ソーシャル・エンジニアリングを用いた攻撃は、今後も続いていくことになるだろう。そして、攻撃者の手口はより悪質化、巧妙化していくことはもはや既定路線とも言える。
加えて、中小・零細企業を狙うことが一般化したことで、かつては他人ごととして捉えていた脅威が、自分たちの身にも迫りつつあるという認識を中小・零細企業の従業員も持つ必要が出てきている。自ら、そして自社が被害に遭遇しないためにも、適切な対策を講じることが求められているのだ。
ボーイスカウトでまず学ぶ格言として「備えよ、常に(Be Prepared.)。」というものがある。デジタル全盛時代の今こそ、改めてこの格言を踏まえた姿勢が求められているのではないだろうか。
