infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

ソーシャル・エンジニアリングの情報漏えい事例と対策法

ソーシャル・エンジニアリング

個人情報漏えい事件とも関わりが深い言葉ですが、そもそもソーシャル・エンジニアリングって何でしょうか?

なんでもかんでも"Engine"eringと呼ぶのは嫌いですが、オックスフォード辞書にも存在する言葉のようです。

 

 

ソーシャル・エンジニアリングには大きく分けて二つの意味があり、情報セキュリティという意味でよりコンテクストにあうのはこちらの意味でしょう。

(In the context of information security) the use of deception to manipulate individuals into divulging confidential or personal information that may be used for fraudulent purposes: 

social engineering - definition of social engineering in English from the Oxford dictionary

簡単にいえば人を欺き、個人情報を漏えいさせること。もちろん悪用する目的で。

ハッカーのハッキングになぞらえてソーシャル・ハッキングと呼ばれることもあるようです。

 

気になる人はソーシャル・クラッキングとでも呼ぶのでしょう。

 

ちなみに総務省のウェブサイトではこのような定義になっています。

  ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html

 

ソーシャル・エンジニアリングなんてたいそうな

要するにやってることは人の部屋を覗くことなんですよね。あんまりそういった行為に響きの良い横文字つけるのはどうかと思います。

 

・他人のFacebookを覗き見する方法!←何それキモーい

・アカウントをソーシャル・エンジニアリングする←えっなにそれカッコイイ

 

なんていうのは極端な例ですが、言いたいことは伝わると思います。

 

言葉の響きというのは大切で、「不倫」と書くと嫌悪感を感じる女性はとても多いでしょうが、「一夜の過ち」なんて書かれるとかえって納得する人も。

 

言葉が持つ威力というものはよく吟味する必要があります。

で、ソーシャル・エンジニアリングって何?

長財布をズボンの後ろポケットに差し、半分露出させて歩く人が散見される日本では特に危険な行為です。

 

標的型攻撃や、ハッキングなどといった(比較的)高度なデータ上で行われる攻撃とは対照的に、人間の心理面をつく方法が多いよう。総務省のウェブサイトでも、「情報通信技術を使用せずに」という一文がありますね。

 

目的が情報漏えいという意味では同じなんですが、手段が違います。

 

具体的には、以下のような手口が広く知られているようです。

 

1. 覗き見

2. 標的型攻撃(電話)

3. ソーシャル・ストーキング

4. ゴミ箱漁り

5. ダイアモンドとイケメン

6. 信用していないのか!作戦

7. ハニートラップと共感的な異性

 

などなど。ツッコみたいかも知れませんが、これからソーシャル・エンジニアリングの例を紹介していくのでしばしお待ちを。

 

1. 覗き見

もっとも古典的なソーシャル・エンジニアリングといえるのが覗き見です。

例えば、

 

・スマホのパスコードやパターンロックを入力している瞬間

・パスワード入力中、キーボードのどの辺に手があるか

・パソコンに貼ってあるふせんにパスワードが!

 

などなど。特に記憶からパスワードを打ち込んでいるような状況の場合は、ランダムで特殊文字が入った複雑なパスワードの可能性は低いわけです。

他人がパスワードを入力する手の動きをチラ見するだけでも、

 

「最初はアルファベット、その後数字」

 

「数字は両端を叩いていたように見えるから1991年から1993年、誕生年か?」

 

「アルファベットはどうも名前+苗字の頭文字っぽい」

 

「つまり名前+苗字のイニシャル+誕生年か」

 

といったアタリをつけることはできます。しかも、意外にこの組み合わせは多いようで。。。

 

あとはクレジットカードの暗証番号入力なんかも日本では結構誰からも見えるように平気に押す人が多いです。

それだけ安全な国であることの証明といえるかも知れませんが・・・。

 

 

ちなみに海外では暗号番号の入力機自体にシールドがついていたり、もう片方の手で隠したり、手の甲で隠したりするのは日常茶飯事です。

 

対策:入力しているところを見られないようにする、周囲の目線を気にする

2. 標的型攻撃(電話)

これは自分のデスク宛に電話がかかり、以下のような理由で不具合が起きているからパスワードを教えてくれ、と要請されるもの。

 

・パスワードの期限切れ←(定番)

・システムエラーで管理者権限ではログインできない←(??って感じ)

・不正アクセスの形跡がある←(嘘)

 

標的型攻撃と呼ばれる迷惑メールが、電話になったと考えてもらえればわかり易いでしょうか。

いかにもそれらしくストーリーを組み立ててくるんですが、社内にいるなら電話番号がどう考えてもおかしいので気を付けましょう。

 

対策:隕石が降ってきても、口頭でパスワードを教えるようなことはしない。

根本的対策:パスワードを教えるようなことはしない。

考えてみてください。パスワードを他人に教える必要があるシチュエーションは、ありません。

パスワードは教えないように。情報漏えい本気で防衛。

スポンサーリンク

 

3. ソーシャル・ストーキング

この前、こんなエントリがシェアされていました。

まさにプロの犯行!? Twitterの鍵アカを自在に開けさせる達人女子にその手口を聞いてきた - トゥギャッチ

 

なんかITリテラシーが低いどうのこうので燃え上がっていたようですが、実際問題としてひっかかる人間が多いことも事実。

 

叫ばれ続ける情報漏えいの危険性から、最近では非公開設定などを活用する人も増えているようです。

ちなみに、当ブログでは原則リアルで顔を知っていて、信用できる人以外は決して公開設定にしないよう勧めております。

 

しかし、非公開設定にしたとしても閲覧できるユーザーの中に悪意を持った人間、あるいは悪意はなくシェアしてしまう人間がいると結局は公開設定と変わりません。

こちらの記事も参考にしてください。

ネットに痕跡を残さない生き方 - オチェアーノ-情報の海に溺れて

 

対策:信頼できる知り合いのみ公開する。

根本的対策:SNSをやめる。正直、普通の社会人なら要らない。

4. ゴミ箱漁り

正直「本当かー?」なんて思ってしまいがちなゴミ箱漁りですが、総務省の公式ページで紹介される程度には情報漏えいの被害事例があるようです。

最近ではコンプライアンス等も問題から社内ではシュレッダーの徹底などを要請されているところも多いよう。

 

しかし、個人でのメモはまだまだ対策が練られていないようです。

燃えるゴミ、燃えないゴミなどがきっちり分別されている日本ならではかも知れませんね。

レシートやメモ、書類等がまとまっていると思われる燃えるゴミで紙がたくさん入っているゴミ袋を見つけることは容易いようです。

 

住所、クレジットカード番号、パスワード、いろんなものがゴミから漏えいしてしまうのですね。

情報漏えいはゴミから。

対策:シュレッダー、ケシポンなどのゴミ対策を行う。

5. イケメンとダイアモンド

たぶんここまで記事を読んでいただいた方でツッコミたくてウズウズするのはこれじゃないでしょうか。

このサイトThe 7 Best Social Engineering Attacks Everの中でも、もっとも面白いと思われるソーシャル・エンジニアリングの事例がイケメンとダイアモンドです。

 

ABNアムロ銀行のアントワープ支店から、2800万ドル相当のダイアモンドが盗まれた事件。

なんとこの事件は武器が使われたわけでもなく、集団による犯行であったわけでもなく。

 

用いられた唯一の武器は、「犯人の魅力」だったというのです。

 

もともと銀行の顧客で、銀行員とも仲が良くチョコレートなどお菓子を買ってあげていたそう。とても優しい人柄と穏やかな雰囲気から、様々な情報が彼に渡りいつの間にかダイアモンドのありかまで知られていたとか。

 

似顔絵の写真なども公開されていますが、いかにも紳士的で無害なイメージを醸し出す方です。

 

「この人なら大丈夫だろう」という心理的な隙をついた、ソーシャル・エンジニアリングの格好の例です。

情報漏えいではなくダイアモンドが漏れたんですけどね。

 

対策:見た目で人を判断しない。

6. 信用していないのか!作戦

”ソーシャル・エンジニア”という不思議なウェブサイトがあります。そこで述べられている実例が、とても印象的です。

Real World Examples - Security Through Education

 

気になるのは以下の部分。

Similarly, a worker might feel that if the password is not shared with a supposed colleague within some reasonable request, they would be giving a statement of mistrust, which might be viewed as insulting, thus compromising the social relationships.

職場の同僚で、例えばパスワードを共有しなかった場合「信用されていないんだ」「疑っているんだ」と思われるのが怖くてパスワードを教えてしまう。

彼氏や彼女に対しても「信用してればパスワード教えられるでしょう?」なんて迫られると断りづらいですよね。あれです。

 

正直なことをいうと、そのような質問を投げかけてくる時点で信用できません。

 

が、やんわりと伝えられているだけだと、「他意はないのかも・・・」などと思いがち。それもその人に思い入れがあったり、仲の良い友人だとなおさら。

 

でもよく考えてみてください。あなたが聞く立場だったとして、どういう意図が考えられますか?

 

対策:ああ。信用できないね!と返す。そんな関係は要らない。

7.ハニートラップと共感的な異性。

人は共感してくれる人に共感しようとし、好意を持ちます。返報性などと呼ばれたりもしますね。

 

よく国の機密を握る高官にハニートラップみたいなのが小説や映画で出てきます。

体の関係と引き換えに、情報を聞き出す・・・なんて究極のソーシャル・エンジニアリングといえるのではないでしょうか。

 

それはともかく、より現実的なのは共感的な異性の存在です。男性に見られる傾向ですが、女性から共感されただけで多少の好意を持ってしまう人も少なくありません。

 

そのままダイレクトにパスワードや個人情報を聴き出されたり、さもなくば前項の「信用してくれてないの?」作戦に持ち込まれることも考えられます。

 

一般的な企業の従業員が狙われるかどうかという意味では不明ですが、企業スパイなどが意外と普遍的に実在することが明らかになっています。

そんな時代なので、常に疑いの気持ちを持っておくことは重要です。

対策:よく知らない異性が近づいてきたら気をつけろ。

まとめ

迷惑メールの標的型攻撃や、ダイレクトの不正アクセスなど情報通信技術による個人情報漏えいは確かに脅威です。

 

しかし、我々一般人がより注意しなければならないのは、誰でも行えて、誰でも標的になり得る「人の心理的な隙をついた」情報漏えいです。

つまり、ソーシャル・エンジニアリングと呼ばれるこれらの手法について学んで、その具体的な対応策を自分で考えておく必要があります。

 

自分には関係ない、という姿勢はこの手の攻撃に脆弱性を残すことになってしまいます。

 

常に新しい情報で自分をアップデートし、心のセキュリティ・ホールを潰していきましょう。

スポンサーリンク