人の脆弱性を狙ったソーシャルエンジニアリング|主な手口と対策
ソーシャルエンジニアリングと呼ばれるサイバー攻撃をご存知ですか? 油断といった人の脆弱性につけ込み、機密情報などを詐取する攻撃のことで、目立った事例は少ないものの、防ぐのが難しく、非常にやっかいなサイバー攻撃です。 本記事では、ソーシャルエンジニアリングの種類や目的、対策について解説いたします。
目次
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、IDやパスワードなどを、DoS攻撃やマルウェアを仕込むなどといった攻撃を行わず、知人を装い電話をかけたり、なりすまして建物に侵入するなど、油断や心のスキを狙ったサイバー攻撃です。 防ぐのが非常に難しく、従業員のセキュリティ意識の啓蒙など、組織的な対策が必要になります。
ソーシャルエンジニアリングは、ドライブバイダウンロードや標的型攻撃などと比べると、発生頻度は低いですが、バックドアなどと同じく、あくまで調査段階の行動であるため、ソーシャルエンジニアリングの被害にいつあったか、特定しにくい特徴があります。
巧妙化するソーシャルエンジニアリングの手口
ソーシャルエンジニアリングも、時代が変わり技術が進歩し、より精緻化、巧妙化しています。 人工知能(AI)を用いたソーシャルエンジニアリングが、今後は増加すると言われています。
また、AIを悪用した振り込め詐欺の被害が、2019年にイギリスで発生しています。 犯人はAIを悪用して声を合成、ターゲットに電話をかけ、日本円にしておよそ2,600万円を振り込ませました。
このようなAIを使って人の声を模倣する。こんなことは可能なのでしょうか? 実際に、2017年には、カナダのスタートアップ「Lyrebird」が世界初のボイスイミテーション・アルゴリズムという技術を開発しています。
話し声を1分記録して分析するだけで、声を模倣できるだけでなく、その人のアクセントやイントネーションまで真似ることができます。
また、AIは音声だけでなく、画像も模倣します。 実際に「ディープフェイク」と呼ばれる(深層学習とフェイクを組み合わせた造語で、人工知能で人物画像を合成する技術)が存在し、例えばビデオ会議やビデオメッセージによる詐欺など、新たな形でのネット詐欺が今後増えてくると、専門家は警鐘を鳴らしています。
「ビジネスメール詐欺」の被害件数が増加
ビジネスメール詐欺とは、標的組織の業務メールを盗み見て得た情報をもとに、従業員宛てに偽の送金指示メールや偽の請求書等を送リ付ける攻撃のこと。 BEC(Business Email Compromise)とも呼ばれます。 「情報セキュリティ10大脅威 2020」では、組織カテゴリで「ビジネスメール詐欺による金銭被害」が3位にランクインしており、2位だった昨年に引き続き、非常に脅威とされていることが分かります。
<参照:「情報セキュリティ10大脅威 2020」|IPAセキュリティセンター>
ビジネスメール詐欺は、まずフィッシング攻撃から始まり、マルウェアに感染させ、メールを不正に閲覧し、情報収集を行います。 情報が集まったら、タイミングを見計らい、取引先、経営者、同僚といった近しい人物や、ときには弁護士などを語り、振込先変更などの手口を使い、金銭の要求を行います。 こうした手口を海外では「CEO詐欺」と呼んだりしています。
トレンドマイクロ株式会社が行った「ビジネスメール詐欺に関する実態調査 2018」によれば、「ビジネスメール詐欺」の攻撃を受けた経験のある割合は39.4%で、4割近くが巧妙な手口を見抜けなかったという結果が明らかになっています。
<参照:ビジネスメール詐欺に関する実態調査 2018|トレンドマイクロ株式会社>
ソーシャル・エンジニアリングの主な手口
バイティング
有益なアプリケーション、ソフトになりすまし、ダウンロードさせる方法。 「ドライブバイダウンロード」とも。トロイの木馬の主な感染経路として知られています。
フィッシング
フィッシング詐欺は、おそらくソーシャルエンジニアリングの中でも、最も知名度が高いのではないでしょうか。 偽のログイン画面を用意した上で誘導、情報を盗み取る手法です。 また、似たものにDNSを不正に書き換え、ターゲットを不正なWebサイトに誘導する「ファーミング」があります。 ファーミングは、URLは正規のものですが、不正に書き換えられたDNSの名前解決によって、本来とは別の偽装した不正サイトにアクセスさせられてしまうため、非常に見極めの難しい攻撃です。
ショルダーハッキング(覗き見)
ショルダーハッキングとは覗き見のこと。 「ショルダーサーフィン」とも。 ログインしているときに、キーボードの入力の動き、またはそのディスプレイに映るID、パスワードを窃取する手法のこと。 侵入した攻撃者によって社内で、またはカフェやコワーキングスペースなど、公共の場所で盗み見されるケースがあります。
トラッシング
ゴミ箱に捨てられた、パスワードなどが書かれた用紙やUSB、CDなどを漁り、不正に入手する方法。 特定の組織を攻撃対象としている場合に使われる手法です。
スケアウェア
違法なコンテンツやウィルスに感染したかのように装い、ターゲットを動揺させる手法です。 Webページにアクセスすると、「ウィルス感染しています」「Windowsシステムが破損しています」といった偽警告のポップアップが表示された経験はあると思いますが、これがまさにスケアウェアです。
プリテキスティング(なりすまし)
セキュリティ業者になりすまし、「ハッキングの痕跡が見られます」などと連絡を入れ、不正にOSやソフトウェアのバージョンを聞き出したり、またはクライアントを騙り、ターゲットの個人情報を詐取しようとする行為。 防ぐのが難しく、プリテキスティングに応じたマニュアルの作成が必要になります。
リバースソーシャルエンジニアリング
上司、クライアント、顧問弁護士などになりすまし、個人情報を引き出そうとする手口がソーシャルエンジニアリングですが、リバースソーシャルエンジニアリングは「サポート番号が新しくなりました」といった類のメールを送付し、そこにターゲットに自ら連絡をさせる手法です。
ソーシャル・エンジニアリングの攻撃を受けるとどうなる?
ソーシャルエンジニアリングの被害にあうと、さまざまな被害が連鎖的に発生します。
まず、考えられるのが機密情報の流出です。 構内に侵入した攻撃社がトラッシングやショルダーハッキングを行い、IDやパスワードを詐取します。 詐取されれば、容易に機密情報へのアクセスができてしまいます。
また、会社内へ侵入されている場合は、流出どころか、従業員の過失によりデータが消失したように、好き勝手、証拠の隠滅をすることもできてしまいます。 これにより、サイバー攻撃の発見が遅れ、気づいたときには数万件以上のデータが流出してしまうことも。 最悪の場合、社会的信用の失墜により、会社の売上が激減、二度と再起できないまでの状態になってしまうでしょう。
ソーシャルエンジニアリングの多くは、標的型攻撃と同様に指名攻撃です。 つまり、入念にターゲットの情報を収集し把握しています。
サイバー攻撃者が狙う部分は、「人の脆弱性」です。 人の心のスキ、油断です。そのことを理解したうえで、対策を講じる必要があるでしょう。
ソーシャル・エンジニアリングの被害事例
ソーシャルエンジニアリングの被害は、実際に有名企業でも起こっています。 ここでは、いくつか実際に起こった実例・事件をご紹介します。
JAL(日本航空)
2017年には、JALがクライアントになりすましたリバースソーシャルエンジニアリングの被害にあっています。 航空機リース費用の振込先変更のメールが届き、それに従い、新しい偽の振込先におよそ3億8000万円を振り込みました。 その後、正規の振込先から、支払いの催促が来たところで、事態が発覚しました。
Coincheck
記憶に新しいCoincheckによる仮想通貨「NEM」580億円流出事件です。 この流出事件の原因は、ソーシャルエンジニアリングだったといわれています。 攻撃者は、コインチェックの社員と接触し、管理権限を持つ技術者を調査。
その後、長い期間にわたって関係を築いてから、ウィルス付きのメールを送付。 Coincheck社の従業員PCがマルウェアに感染、流出につながりました。
ソーシャル エンジニアリングの対策
最後に、ソーシャルエンジニアリングに有効な対策についてご紹介します。
機密情報はシュレッダー処理をする
機密情報が書かれた文書を破棄する場合は、すぐにシュレッダーなどで裁断したあと、所定のゴミ箱に回収しましょう。 なお、シュレッダーはクロスカットやさらに細かく裁断するマイクロカット(マイクロクロスカット)方式が一般的です。 旧式のストレートカットの場合、シュレッダー後の紙片を集め復元された事例もあります。
また、ストレートカット方式の場合、ゴミの保管、運搬にも注意が必要です。 万が一、機密情報が記載された紙片ゴミの盗難、紛失が発生すれば、漏洩のリスクも考えられます。
入退出記録を残す
外部の人間の出入りがある場合は、入退室記録の徹底をしましょう。 ビルに入退出する際は、受付で氏名や連絡先を記載の上、入退出記録を残します。 さらに厳重にしたい場合は、セキュリティゲートの設置も一つの対策法として有効でしょう。
生体認証システムの導入
生体認証システムとは、本人しか持ち得ない固有の情報にて本人確認をする認証方法のこと。 「指紋認証」「静脈認証」「虹彩認証」「顔認証」がその例です。 これを導入することで、侵入者を完全にガードできる反面、常に社外の人がアクセスする場所では、管理面が煩雑になるため、不向きです。
社員証の携帯の義務付け
社員証を常に首からかけて携行させることで、外からの来訪者と従業員の区別をつけることができます。 ただし、この社員証を熟知していれば、偽造の社員証は容易に作れてしまうので、出退勤時に入り口で提示させる、社員証にルーム電子キーの機能を実装させるなどの対策が必要です。
デスクの引き出しの施錠徹底
デスク上に、社外秘の情報が書かれた用紙や、機密情報をまとめた文書を置いておくと、書類の紛失または盗み見されるリスクが高まります。 PC画面に貼ってある付箋も同じくです。 原則、書類はデスクの引き出しに入れ、施錠を徹底することで、ソーシャルエンジニアリングの被害に遭うリスクを下げることができます。
離席時のPCロックの徹底
ショルダーハッキングは、作業時だけでなく離席時にも行われます。 離席時に開いたままのPC画面やモニターは、まさに重要情報、内部情報の宝庫です。 離席時には、画面ロックの設定を行いましょう。
不審な添付ファイルは開かない
全てのサイバー攻撃に共通して言えることですが、とにかく不審な添付ファイルは開かない、触らないこと。 また、ファイルが添付されている他に、口座番号の変更、URL変更といった文言が入ったメールも注意が必要です。 少しでも怪しいと感じたら、情報システム部など、会社のしかるべき部署に連絡・相談しましょう。
送信者やドメインの確認
メールの宛先、ドメインをよく確認しましょう。 よく見たら、1がI(大文字のi)になっていたということも。 また、フィッシングメールやビジネスメール詐欺で多用されるGmailやYahooなどのフリーアドレスにも注意しましょう。
まとめ
大切なことは、「社内だから安心」と油断せずに、社内でも緊張感を持ち、常に「情報流出のリスクと隣り合わせ」という意識を持つことが大切です。 本日紹介した対策をぜひ御社でも導入してみてください。