防壁も効かない　ソーシャルエンジニアリングに注意(1)セキュリティの最大の弱点は『人』

ターゲットを絞ったネットワークへの攻撃が増加するにつれ、ソーシャルエンジニアリング手法への警戒が高まっている。特にここ数年、フィッシング攻撃やトロイの木馬を仕掛けることで、情報に不正にアクセス。他人の口座から金銭や情報を奪う事件が増加中だ。企業などでも、変化する攻撃傾向に合わせて、セキュリティ対策を講じる必要がでてきた。

ソーシャルエンジニアリングとは、ハッカーのようにテクノロジーを用いてファイアーウォールなどに攻撃を仕掛けるのではなく、「人」を狙う。「人」を騙すのは難しいようだが、扱い方を知っているなら、実はセキュリティで最も脆弱な要素でもある。

●代表例はフィッシング

代表的な例はフィッシング詐欺だ。消費者は金融機関などになりすましたメールを受け取り、添付ファイルを開いたり、リンクをクリックしてしまう。結果、キーロガーなどを知らないうちにインストールされる。攻撃者はその後、インターネットバンキングなどを行う際にユーザー名やパスワードなどの重要情報を奪い、勝手に口座から残高を引き出したりする。しかし、金融機関になりすましたフィッシングメールは、懸命な啓発活動の成果で減少傾向にあると言われている。

そのため、フィッシング詐欺にも変化が見られている。昨年、ハリケーン「カトリーナ」が米国南部を襲った直後には、義援金を求めるメールが出回った。善意の市民が寄付しようと添付ファイルやリンクにアクセスすると、スパイウェアがインストールされるというものだ。あるいは、懸賞のようなものに当選したと通知メールを送付。送金のために口座情報が必要だとして市民を騙す手口もある。

また、ソーシャルエンジニアリングは、個人情報の盗難に限らず、ウイルスやスパイウェアの配布にも使われる。Soberワームも同様の手口であっという間に世界中で拡大してしまった。どの例でも、ハッカーが技術を駆使してシステムに侵入するというものではない。受信者が「開けたくなる」ファイルを送付しただけだ。

比較的最近の手口ではFBIになりすましてWin32Soberワームを添付したメールを送付する事件があった。メールは英語とドイツ語で送付。ドメインによって、どちらかの言葉を選ぶようになっていた。

メールはいくつかの種類があったようだが、件名は「You visit illegal websites（非合法ウェブサイトの閲覧）」や「Your IP was logged（IPアドレスを記録）」などといったものだ。本文は「We have logged your IP address on more than 40 illegal websites. Important:Please answer our questions! The list of questions are attached（40以上の非合法なウェブサイトでIPアドレスを記録した。重要:質問に回答を求める。質問は添付）」受信した人は、FBIの捜査の対象になっていると慌てて添付書類を開いてしま
う。

同様にCIAからとされるメールもあった。添付ファイルは本文にあわせてquestion-list.zipやlist.zip。このzipファイルはワームのプログラムだ。ドイツ語版はBundeskriminalamt BKAつまりドイツの連邦刑事警察局からの送信となっていて、内容もほぼ同じだ。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html