Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説


ケビン・ミトニック氏
 かつて世界で最も有名なクラッカーと呼ばれたケビン・ミトニック氏が来日し、19日午後、都内にて開催されたNPO法人・日本ITイノベーション協会(JITA)主催の「情報セキュリティ勉強会」で講演した。

 講演に先立ち、JITAの協賛企業であり、ミトニック氏が顧問を務めるZenlok株式会社のアミール・アヤロン代表取締役社長が挨拶。その中で、ミトニック氏が米国でかかわっているテレビ番組のプロモーションビデオ(予告映像)を紹介した。

 今回の「情報セキュリティ勉強会」のテーマは、「日本における情報セキュリティのグローバル・スタンダード化を考える」。ミトニック氏は、現実に世界中で起こっている脅威という視点から「The Art of Deception(騙しの技)」と題して、いわゆるソーシャルエンジニアリング攻撃について、実体験に基づく具体的な事例を挙げながら、易しく解説した。

 ミトニック氏によれば、ソーシャルエンジニアリング攻撃は、ソフトウェアの脆弱性を悪用した攻撃などに比べて、「OSに依存しない」「ログに残らない」「費用がほとんどかからない」などの理由から、リスクが低く、しかも成功率の高い、簡単かつ有効な攻撃手法であるとしている。

 講演の中でミトニック氏は、ソーシャルエンジニアリング攻撃が有効であることを示す実験として、ロンドンのある駅で、通行人に「ボールペンをあげるのでパスワードを教えてほしい」とお願いしたところ、10人中9人がパスワードを教えてくれたことを紹介した。ほかにも、生年月日や専攻、大学名、母親の旧姓などの個人情報を記入するアンケートに回答したら芝居のチケットをプレゼントするといった場合も、9割が素直に回答してしまったそうである。

 このような手法にひっかかってしまう人たちについてミトニック氏は、

 1)自分だけは騙されるようなバカではないという幻想を抱いている
 2)人は何となく他人を信じやすいものである
 3)セキュリティの手続きに従うのは時間の無駄と思っている
 4)情報の価値を過小評価している
 5)人は他人 (同僚) を助けたい気持ちを持っているものである
 6)自らの行動がもたらす結果をわかっていない

としている。つまり、言い換えれば誰でもひっかかってしまう可能性があり、それだけ成功率が高いということができる。また、特に同僚を助ける立場にあるヘルプデスク担当者が狙われる可能性が高いことも指摘している。


 さらに、ソーシャルエンジニアリング攻撃によるセキュリティ侵害を防ぐ方法として企業に必要なものとして、

 1)上級管理職の参画 (必須)
 2)具体的な事例を挙げての啓発
 3)社員が自らの問題と意識して参画できる仕組みの確立
 4)何が機密情報であり、行動指針となるかを定義する単純なルールの整備
  (ヒューリスティック=発見的問題解決)
 5)「No」を代わりに言ってくれる仕組みの導入

を挙げた。5)の例として、なかなか「No」と言いにくい人情を鑑みて、代わりに着信を拒否してくれる「装置」が紹介された。

 最後にミトニック氏は、情報セキュリティに必要なものとして、ソーシャルエンジニアリング攻撃の脅威に対する理解と不断の警戒、さらに自社の社員に対するソーシャルエンジニアリング攻撃を実際に行なってみる「侵入テスト」の必要性などを挙げた。

 講演終了後、ミトニック氏が希望者に1人ずつ名刺を渡したいと言ったところ、あっという間に長い行列ができ、さながらアイドルの握手会の体をなしていたことが印象的だった。


関連情報

URL
  日本ITイノベーション協会「情報セキュリティ勉強会」
  http://www.npo-jita.org/event/20080519.html

関連記事
Zenlok、メール暗号化サービスを無料提供(2008/05/16)


( 山賀正人 )
2008/05/20 12:06

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.