[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史

今年もラスベガスで開催された世界最大級のハッキングカンファレンス DEF CON。このイベントには様々な企画が目白押しだが、中でも最大級の目玉とされているハッキングイベント、CTF（Capture The Flag）についてはご存じの方も多いと思われる。

しかし今年で 5 回目の開催となった SECTF （ソーシャルエンジニアリング CTF）は、日本人にとっては馴染みが薄いだろう。SECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だ。技術を駆使するのではなく、人間の心理を利用するソーシャルエンジニアリングの能力を、果たしてどのように競うのか？

世界で最初にソーシャルエンジニアリングのフレームワークを作り上げた、SECTF の創始者でもある Christopher Hadnagy 氏とパートナー関係を持つ日本のセキュリティ企業、株式会社アズジェントの協力のもと、編集部はChristopher Hadnagy 氏本人から競技の目的や歴史、そしてソーシャルエンジニアリングについて詳しく話を聞いた。

SECTF 開催の 2 日前、競技の準備が進められているDEF CON 22 会場で、Chris 氏はとてもフランクに、私たちの質問に笑顔で答えてくれた。

●SECTF とは？

──本日は、お忙しいところインタビューに応じていただきありがとうございます。なにしろ、これが日本で初めて SECTF を紹介する記事になりそうなので緊張していますが、お手柔らかにお願いします。

「来てくれてありがとう。そんなに緊張しないで。大丈夫だよ、ソーシャルエンジニアリングは怖いものに思われるかもしれないけれど、僕も駒瀬（株式会社アズジェントセキュリティ・センターフェロー）もフレンドリーだからね」

──ありがとうございます。では早速ですが、SECTF の概要を説明していただけますか。

「DEF CON 22 では様々なハッキングの競技が行われる。今週金曜日（編集部註：2014 年 8 月 8 日）から始まる SECTF は、実在する米国企業をソーシャルエンジニアリングで攻撃する競技だ。
まず、それぞれの挑戦者には、標的となる企業の名前が事前に告げられる。挑戦者は、オープンソースの情報だけを利用し、その企業を調査してレポートをまとめる。そして競技の当日には、そこにあるガラスの防音ブースに入って、観客が見ている前で、標的の企業に電話をかけ、様々な情報を聞き出さなければならない」

──標的となる企業の名前は、まだ私たちには発表されてないですよね？

「まだ内緒。当日、このスクリーンに表示されるよ」

──挑戦者は、どのように決めているのですか？

「挑戦希望者はウェブから申し込む。通常だと 70 ～ 100 人ぐらいの応募数だけど、今年は 200 ～ 300 人だった。今回は『なぜ参加したいのか』を自分で語るビデオも集めて、そこからトップの 18 人を選んだよ」

──SECTF という競技の歴史についてお伺いしたいのですが。

「どこを『始まり』と考えたらいいのかな……この競技を始める前に僕たちは悩んだんだ。どうすれば楽しくなるか、白熱するのか、そして合法的にできるのか（笑）。それを熟慮しながら計画するのに長い時間がかかったから。
開催の歴史を説明すると、最初の年はたくさんの人々が怖がっていたね。FBI まで『それは合法的なイベントなのか？』って、電話で尋ねてきたから、みんなちょっと神経質になっていた。でも、今年で SECTF は 5 年目になる。この 5 年で、状況は素晴らしく良くなっているよ。
たとえば初回は、30 人の観客しか入れない部屋で開催した。今年のSECTFは、この数百人が入れる部屋で開催する。
企業の態度も変わったよ。最初の年は、多くの企業が僕らの競技に神経質な反応を示した。でも昨年は、標的となった 10 社のうちの 9 社が、競技後に『我が社のセキュリティの問題を、どのように修復すればいいだろう？』って、向こうから僕たちに助けを求めてきたんだ」

──非常に面白いエピソードです。

「でしょ。最初の年とは反応が全く違う。いま彼らは僕たちに対して、開放的になってくれている。だから僕は、その点について、とてもポジティブに構えているよ」

──このコンテストで、あなたが最も重要視している目的は何なのかを教えてください。

「いい質問だね。ソーシャルエンジニアリングは、企業に対するハッキングの中で、最も簡単な手法なんだ。多くのハッカーは、エクスプロイトのコードを書くのに時間をかけている。でも実際は、ただ電話をかけるだけで情報が手に入る。それでも多くの企業は、ソーシャルエンジニアリングがこんなにも危険だということを知らない。そのダメージの大きさに気づかない。
だから僕たちは、『スキルのない人間でも、いかに簡単にソーシャルエンジニアリングを成功させてしまうのか』を、ここで示しているんだ。
挑戦者のほとんどは、ソーシャルエンジニアリングを仕事にしていない。別の職業についている普通の人たちだ。そんな彼らが、ちょっとトレーニングを受けただけで簡単に成功してしまう。僕たちは、それを見せたいと思っている」

──これまでの SECTF の開催で、改善してきた点はありますか？

「毎回、手法を変えているよ。たとえば最初の頃は、1 人ずつブースに入って、1 人ずつ電話をかけていた。去年は同じ企業に対して『男性 VS 女性』の対抗戦になる形で攻撃した。このときは女性のほうが、いい成績を残したね。
今年はタッグチーム戦なんだ。一度に 2 人ずつブースに入って、2 人がかりで情報を聞き出す。これは近年、頻繁に行われた手口を模倣したものになっている。最近は、複数人で情報を取り出すことが多いからね」

──この先、この競技はどのように変化していくのでしょうか。

「それは僕も分からない。たとえば昨年は、多くのハクティビストが『協力して』企業を攻撃した。だから今年のようなタッグチーム戦が考案された。
僕たちは、現実に起きている悪いソーシャルエンジニアリングにマッチした競技を開催して、そこから人々が学べるようにしたい。どんなソーシャルエンジニアリングがよりリアルなのかを考えている。もっとうまくやれるように。つまり『うまくやられないようにする方法』をもっと学べるようにしたいんだ。来年はどうなるのかは、これから世界で起こること次第だね」

──SECTF を他国で開催したことはありますか？

「ソーシャルエンジニアリングのトレーニングは、様々な国で開いてきたけれど、SECTF はここでしか開催していないよ。このラスベガスの DEF CON で、年に一度だけ。DEF CON は世界最大のハッカーコンベンションだから、比較的簡単にできるんだ。群衆がいるし、エナジーがあるし……」

──他の国でも開催したい、あるいは年に何度か開催したいという気持ちはありますか？

「SECTF は、やらなければならない作業がとても多くてね。挑戦者を募り、標的の会社を決める以外にも、スコアの採点や、あと弁護士にも相談しないと……。チームでこなすことが山ほどあるから、年に二度は難しいだろうね。どうかな、訊いてみようか。
（たまたま通ったアシスタントの Michele さんに）ねえ、年に二回やりたい？
（はっきりと顔をしかめる Michele さんを見て）ああ、彼女はノーだって。無理だね、彼女がボスだから（笑）」

●SECTF の合法性と、米国内での立場

──5 回目の SECTF、ここまでで最も困難だったことは何ですか？

「1 年目と 2 年目に、いくつかの大企業が米国司法省に電話して、僕たちのことを報告したんだ。『なにかとても悪いことをしているようだ』ってね。だから僕は司法省と FBI に呼ばれて、何をしているのかはっきりさせなければならなかった。それが困難と言えば困難だったね、なにしろ怖かったから。逮捕されるのかな、どうなるんだろうって……」

──あの、どうしてそこで止めなかったのでしょうか。

「いい質問だ（笑）！　頑固だから？　賢くないから？　分からないな。僕は、自分がやっていることを本気で楽しんでいる。だから続けているんだ。どうして止めなかったのか……これまで一度も考えたことがなかったな（笑）」

──逆に連邦警察や FBI から協力を求められることはありますか？

「あるよ。2 年目の開催後、FBI に招かれて、僕は『SECTF が何をしているのか』を FBI のチームにブリーフィングした。彼らはそれを学習に利用したよ。
3 年目の開催後はペンタゴンに招かれて、僕らが何に成功したのかを教えることができた。警察や政府機関は、こういった活動から学習しようとしている。いまの僕たちは、近しい関係で働いている。彼らには詳細情報も隠してない。彼らの目的が『守り』である以上は協力したいと思っているよ」

──この競技は法的にきわどいと思うのですが、違法ではないですよね？

「この競技は完全に合法だよ（笑）。たとえば米国では、そしてたぶん多くの国では、クレジットカード番号やSSN（Social Security Number：社会保障番号）を聞き出すことは違法になる。パスワードや IP アドレスも違法となる可能性がある。だから僕らは、それらを尋ねない。
僕らが尋ねるのは、誰が企業のゴミの撤去を管理しているのか、カフェテリアにはどこのメーカーの販売機を設置しているのか、どんなタイプのコンピュータを利用しているのか、OS は何か、そのバージョンは何か、どんなタイプのブラウザを利用しているのか……
これらの質問に答えてしまうのは、ソーシャルエンジニアリングとしては、次の手を決める上で重要な情報だから実際には危険なんだけど、それを尋ねることは法に触れていない。僕たちは、グレーゾーンの外側（白側）にいられるように努めているよ」

──標的となった企業から訴えられたことはないですか？

「訴えられたことは一度もないね。ある年の SECTF では、ある大手のソフトウェア会社に電話をかけて情報を聞き出したんだけど、彼らの結果は非常に良くなかった。彼らは何でも話してしまったんだ。そのときの相手は本当に怒って、『訴える』とも言った。でも、僕らの弁護士と彼らの弁護士とで話し合ったから、いまはもう大丈夫」

──そのときの結果は発表されたのですか？

「結果は発表するけれど、『どの会社が何の情報を喋ったのか』という詳細は発表せずにスコアだけを公表しているんだ。この会社がこんな情報を漏らした、って教えてしまうと、悪用される可能性があるからね」

──特別に優秀な弁護士を雇っていらっしゃるのではないかと思うのですが。

「僕はビジネス弁護士と、ハッキング弁護士を雇っている」

──ハッキング弁護士、ですか？

「そう、彼女が扱っているのは、ほとんどハッキングに関わる案件で、ペネトレーションテストとハッキングに関する法の照らし合わせはすべて彼女に頼っている。彼女は『僕の仕事上で必要となる事柄』という角度から法を調べるプロだ。僕たちがトラブルに巻き込まれないためのルールを教えて、怪しいエリアに立ち入らないようにしてくれる。もともと彼女は EFF（電子フロンティア財団）の弁護士で、様々なことを学んできた人だから経験豊富なんだ」

──そういった弁護士さんは米国に多いのですか？

「いやいや（笑）、とても珍しいよ。本当に貴重だ」

●世界に広がるソーシャルエンジニアリング学習

──あなたのソーシャルエンジニアリングのトレーニングで得られる、具体的な効果を伺いたいのですが。

「そうだね。まず、僕のコースを受ける人はだいたい、セキュリティの分野で働いている。一部の人々はペネトレーションテストにも従事しているんだけど。
ある会社が、僕らのコースに数人のスタッフを受講させて、『ソーシャルエンジニアリングのスキルをどのように生かすのか』を学ばせたことがある。
フィッシング、対話法、ボディランゲージ……それらの手法について、彼らは理解する能力を上げた。その結果、57 ～ 60 ％程度だった彼らのペネトレーションテストの成功率は99 ％まで上がった。

だから、たくさんの人が僕のコースを受講してくれる。でも彼らは、ただソーシャルエンジニアリングを学ぶだけではなく、生活でも使えるコミュニケーションを学んでいる。彼らは、人生の多くのことが変わったと言ってくれているよ」

(江添佳代子／協力：株式会社アズジェント)