[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー | ScanNetSecurity
2026.01.03(土)

[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

フィッシング攻撃は大幅な増加傾向にあり、規模の大きい攻撃では、「ビッシング」用のコールセンターを設立する例があります。フィッシングメールとビッシングを組み合わせる手法もあります。メールを送った直後に電話で連絡し、確認依頼をすると効果があるのです。

特集 特集
309 views
facebookLINE
PR
ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏
ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏 全 4 枚 拡大写真
毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催され、なかでも世界最高峰のハッカーコンテスト「DEF CON CTF」が有名だ。日本国内でも、セキュリティ人材育成を目的として CTF イベント「SECCON」が開催されている。

一方、今年で 6 回目の開催を迎えた DEF CON 併催イベント「 SECTF (ソーシャルエンジニアリング CTF)」は、企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベントだ。

昨年、SECTF 実施の合法性や、その全貌について密着取材を実施した本誌は今年、日米で同時多発的に発生した大規模情報漏えい事故とソーシャルエンジニアリングの関連などについて、SECTF ワークショップ主催の、ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名に話を聞いた。(聞き手:江添 佳代子 氏)


──米小売大手の Target 社の情報漏えいにはじまり、最近では米人事管理局など、「メガブリーチ」と呼ばれる規模の大きい事故が続発しました。こうした攻撃で、ソーシャルエンジニアリングの手口はどのように使われていたのでしょうか。

ハドナジー氏:まず、ソーシャルエンジニアリングは、「フィッシング( Phishing )」、「ビッシング( Vishing )」、そして「なりすまし( Impersonation )」の大きく 3 種類に分けることができます。「フィッシング」や「なりすまし」はよく知られていますが、「ビッシング」とは、電話などを利用して口座番号や暗証番号、その他個人情報を不正に取得する方法です。多くのメガブリーチで、「フィッシング」と「ビッシング」が使われています。

──最近のソーシャルエンジニアリングの傾向を教えて下さい。

ハドナジー氏:まず、「フィッシング」攻撃は大幅な増加傾向にあります。攻撃者は決済などのペイメントサービスと偽ったメールや、金融機関のロゴを使ったメールなどを活用することで、ターゲットを騙します。金銭に関わる内容のメールに人は敏感に反応するからです。最近は、フィッシングメールの英文法を添削するサービスまで現れています。

また、規模の大きい攻撃では、ビッシング用のコールセンターを設立する例があり、ビッシングも増加傾向にあるといえます。電話のなりすましを行うソフトウェアが存在し、フィッシングメールとビッシングを組み合わせて攻撃する手法もあります。たとえば、フィッシングメールを送った直後に電話で連絡し、メールの確認依頼をすると非常に効果があるのです。

フィンチャー氏:ビッシングの被害にあった具体的な例ですが、カナダの大手通信会社ロジャーズ・コミュニケーションズ社は、ビッシングを通じて顧客情報を攻撃者に奪われました。その後、攻撃者は、顧客情報の身代金を要求したのですが、ロジャーズ・コミュニケーションズが応じなかったため、攻撃者は手に入れた情報を流出し、同社は大きな被害を受けました。

──いまお話されたようなトレンドが、今回の SECTF にどんな影響を与えましたか。また、昨年とはどんな点が違いますか。

ハドナジー氏:攻撃のトレンドに合った内容という意味では、今回の SECTF では、最近の攻撃対象となりやすい、通信会社に焦点を当てました。SECTF で、ターゲットを通信会社に絞るというところは昨年と大きく異なる部分です。また、昨年は参加者にペアを組んで挑んでいただきましたが、今回はそれぞれが単独で挑戦するよう変更を加えました。

また、今年は、SECTF の注目度が増しており、今回の応募サイトの閲覧数は約 80 万を超えました。また、 SECTF の応募者数も数百人まで増え、そこから我々は、最終的に SECTF に参加する 14 人を選考しました。

後編につづく

《湯浅 大資》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

    fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

  2. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

    元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  3. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  4. クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

    クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

  5. 保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

    保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP