Photo By Shutterstock
今年1月、大手仮想通貨交換所「コインチェック」から580億円相当といわれる巨額の仮想通貨「NEM」が流出し、大きな社会問題となった。
仮想通貨全体の社会的信用がゆらぐほどの大きな影響を日本社会に与えたこの犯行には、ソーシャル・エンジニアリングと呼ばれる不正アクセスの手法が用いられたことが分かってきた。
その具体的手法をみてみると、多くの日本企業は同様の攻撃を防ぎきれない恐れが出てきた。あなたの会社は大丈夫だろうか。
文:伊藤僑
人の心理的な隙や行動上のミスにつけ込む
「ソーシャル・エンジニアリング(social engineering)」という不正アクセスの手法をご存じだろうか。
不正アクセスというと、ネットワーク経由でコンピュータのセキュリティ・ホール(脆弱性)を狙って侵入を試みたり、コンピュータウイルスやスパイウェアを使って情報を奪取するようなイメージが強い。多くの映画や犯罪ドラマなどでも、根暗なコンピュータ・オタクが薄暗い部屋で、パソコンに向かって黙々と攻撃を仕掛けるようなシーンをよく見かける。
そんな先入観もあってか、多くの企業では不正アクセス対策というと、ネットワークからの侵入を防御・検知する「不正侵入検知・防御システム(IDS/IPS)」や「ファイアウォール」、「アンチウイルスソフト」などシステム面の防御にばかり注力しているような印象がある。
もちろん、それらの防御システムは、いまや欠かすことのできない存在だ。インターネットに接続しただけで、脆弱性の有無を探るスキャンを引っ切りなしに受けるような環境下において、防備を怠れば、たちまち攻撃者の餌食になってしまうだろう。
だが、いくら最新の防御システムを備えていても防ぎきれない攻撃もある。そんな攻撃手法のひとつが、ソーシャル・エンジニアリングだ。
ソーシャル・エンジニアリングとは、人の心理的な隙や行動上のミスにつけ込んで、システムに不正侵入したり、機密情報などを盗み出す攻撃手法のことで、ソーシャル・ワークやソーシャル・ハッキングと呼ばれることもある。
かつて、米国コンピュータ犯罪史上で最重要指名手配犯といわれた伝説的ハッカーのケビン・ミトニックも、ソーシャル・エンジニアリングによる攻撃を得意としており、「攻撃者は一番弱いところを狙って攻撃する。私の経験上、人の要素が一番弱いことが多い」と語っている。
長い時間をかけて相手に信用させる手口
NHKの報道によれば、コインチェックへの攻撃は犯行の半年ほど前からはじまっていたとみられる。
その手口を紹介すると、まず、犯人はSNSなどを通じてシステムの管理権限を持つ同社の技術者を複数割り出し、偽名を使って接触を試みる。そして、長い時間をかけて交流を重ね、その間は不審な行動を一切行わずに、信用されるのをじっくり待つという手のこんだものだった。
そのため技術者は、すでに信用している相手から、まさかウイルスが仕込まれたメールが送られてくるとは考えもせず、無防備にメールを開いてしまったわけだ。その結果パソコンが感染し、不正アクセスへの足がかりとされてしまった。
このコインチェックの事例のように、長い時間をかけて相手を信用させ、お金を盗み出すというサイバー攻撃は国内では前例がないとされ、サイバー・セキュリティ関係者は、標的型攻撃の新手法として警戒を強めている。
攻撃者の手口や心理を知ることが大切
ソーシャル・エンジニアリングの手口は、実に多様で防ぐのが難しいとされる。
例えば、ターゲットとなる会社の社員がよく利用する飲食店で、彼らの会話から攻撃に必要な情報を収集したり、清掃業者として社内に潜り込んで、ゴミ箱から書類を漁ったり、社員になりすまして電話をかけて、システムへのアクセス方法を聞き出したり……。
攻撃者は手間をいとわず、あらゆる手段を駆使して攻めてくる。狙う情報の価値が高ければ高いほど、多くの手間をかけても十分元が取れるわけだ。
「うちの会社には、手間をかけて盗むような価値ある情報なんてない」と安心してはいけない。大手企業の情報を盗むために、その取引先企業のシステムを踏み台にしたり、不正アクセスするための情報を収集することは少なくない。
書類を開いたまま、自分のデスクでお弁当を食べている様子を写真に撮ってSNSへアップする。コーヒーショップでパソコンを席に置いたままトイレに行く。そんな、ちょっとした油断を攻撃者は見逃さないことを、日頃から自覚しておくことが大切だ。