ブログ記事

ソーシャルエンジニアリング攻撃の手口を知り防御する!

2018/06/25

人間の脆弱性を突くソーシャルエンジニアリング攻撃

(画像は写真ACより)

サイバー攻撃者が、不正アクセスの糸口となるIDやパスワードを不正入手する古典的な方法の1つに、最近特に巧妙化・高度化しているソーシャルエンジニアリング攻撃があります。

ソーシャルエンジニアリング攻撃とは、人の社会的行動や心理的傾向の弱点や盲点など、人間に起因する脆弱性につけ込んだ方法です。

(出典:Verizon、2018 Data Breach Investigations Report(DBIR))

Verizonのデータ漏えい/侵害調査報告書(2018DBIR)によると、2017年データ漏えいや侵害行為に使われた方法は、2016年と比べ、1位のハッキングと2位マルウェアの割合が大きく減少しました。

しかし、ソーシャルエンジニアリングはやや減少したものの、依然として約20%の割合を維持し、脅威となっています。

ソーシャルエンジニアリング攻撃は、マルウェアの開発、ネットワークやソフトウェアの脆弱性を見つけるより、ユーザの弱みを悪用する方が簡単なため、サイバー攻撃者には根強い人気があるようです。

ソーシャルエンジニアリング攻撃の手口

1.なりすまし

1)なりすまし電話

電話で、顧客、従業員、取引先、上司・役員、弁護士、警察、役所、銀行等の名をかたり、重要・至急等の用語を用い、ログイン情報や各種カード類のパスワード等を聞き出す方法です。

2)フィッシング(Phishing)

フィッシングメールは、いかにも関係者と思わせるメールアドレスや内容に、マルウェアを仕込んだ添付ファイルや、フィッシングサイトへ誘導するURLを掲載した詐欺メールです。

フィッシングサイトは、真正Webサイトを偽装したWebサイトで、ユーザにログイン情報、クレジットカード情報等を入力させ、パスワード等を窃取します。

3)プリテキスティング(Pretexting)

矛盾のないシナリオを作成して身元や身分を偽り、信頼関係を築き、機密情報を入手する方法です。

2.盗み見(Shoulder Hacking)

オフィス内やカフェなどの外出先で、肩越しに、標的ユーザの画面、タイピングをのぞき見て、ログイン情報等を窃取する方法です。

3.ゴミ箱あさり(Trashing)

ゴミとして廃棄された紙、CD-ROM・DVDなどの記憶媒体から情報を探し出す方法です。ゴミには、重要情報が詰まっている場合があります。

4.スケアウェア(Scareware)

ユーザが、マルウェアに感染した、違法なコンテンツをダウンロードしたかのように思わせて、脅迫する方法です。

攻撃者は、ユーザにマルウェアを仕込んだ偽の解決策を提供することで、情報を窃取します。

5.わなの餌(Baiting)

攻撃者が、マルウェアに感染したUSBメモリ、CD-ROMなどを置き、ユーザに使わせるように仕向けることです。

目立つ場所に置く、人事・給与等興味を引くラベルを張るなど人の好奇心を悪用します。

他にも、Webサイトを改ざんする「Water Holing」、見返りを期待させる「Quid pro quo」、ヒトの後ろに付いて一緒に入室する「Tailgating」などの方法がいくつもあります。

ソーシャルエンジニアリング攻撃の具体例

1.MUFGカードをかたるフィッシングメール

(三菱UFJニコス株式会社の注意喚起サイトより)

フィッシング対策協議会は6月21日、緊急情報としてMUFGカードをかたるフィッシングメールが出回っています、と発表しました。

このようなメールが後を絶たないことから、被害にあうユーザが依然として少なからずいると思われます。

2.研修医の個人情報漏えい

新潟県は4月17日、県立坂町病院の事務職員が電話で医師をかたる者に対して勤務した研修医52名の氏名および携帯電話番号を漏えいした、と発表し、関係者および県民に対し謝罪しました。

古典的な方法ですが、未だに効果的なようです。

3.仮想通貨「NEM」の巨額流出

仮想通貨取引所「コインチェック」社は1月26日、総額約580億円に相当する仮想通貨NEMが外部に不正流出したことを明らかにしました。

攻撃者は、SNS等から同社の複数のシステム管理者を割り出し、半年程前から身分等を偽って接触・交流し、信用を獲得しました。

システム管理者は、攻撃者からのウイルスが仕込まれたメールを疑いもせず開封した結果、ウイルス感染し、仮想通貨流出の足がかりとなる情報を提供してしまいました。

ソーシャルエンジニアリング攻撃の対策

ソーシャルエンジニアリング攻撃では、人が攻撃対象になるため、技術的対応策以外に重要なことは、人に対する教育・研修です。

教育においては、上述したソーシャルエンジニアリング攻撃の手口や事例を数多く紹介します。

そうすれば、記憶媒体や書類・メモの放置、離席時パソコンをロックしない、オープンな場所での入力や機密情報の会話、切り刻まないで紙やCD-ROMを捨てる等の行為はなくなります。

さらに、フィッシングメールや電話による研修を実施し、ソーシャルエンジニアリング攻撃を疑似体験することで、セキュリティ意識を向上させることができます。

これらの教育や研修は、計画的・継続的に実施し、定期的に注意喚起することが望まれます。業務多忙の場合は、E-learningを利用する方法もあります。

また、研究開発室や事務室には入退出管理システムを導入し、従業員の利便性とセキュリティ確保を考慮し、顔認証など生体認証で部外者を確実にチェックします。

個々人には、権威や恐怖に弱い心理、見落としやうっかりなどのミスもあります。

普段より、上司や同僚とコミュニケーションを図ることができ、不審や不明な事柄について相談できる職場環境を整備することで、ソーシャルエンジニアリング攻撃を防御しましょう。

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。