 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
講演に先立ち、JITAの協賛企業であり、ミトニック氏が顧問を務めるZenlok株式会社のアミール・アヤロン代表取締役社長が挨拶。その中で、ミトニック氏が米国でかかわっているテレビ番組のプロモーションビデオ(予告映像)を紹介した。 今回の「情報セキュリティ勉強会」のテーマは、「日本における情報セキュリティのグローバル・スタンダード化を考える」。ミトニック氏は、現実に世界中で起こっている脅威という視点から「The Art of Deception(騙しの技)」と題して、いわゆるソーシャルエンジニアリング攻撃について、実体験に基づく具体的な事例を挙げながら、易しく解説した。 ミトニック氏によれば、ソーシャルエンジニアリング攻撃は、ソフトウェアの脆弱性を悪用した攻撃などに比べて、「OSに依存しない」「ログに残らない」「費用がほとんどかからない」などの理由から、リスクが低く、しかも成功率の高い、簡単かつ有効な攻撃手法であるとしている。 講演の中でミトニック氏は、ソーシャルエンジニアリング攻撃が有効であることを示す実験として、ロンドンのある駅で、通行人に「ボールペンをあげるのでパスワードを教えてほしい」とお願いしたところ、10人中9人がパスワードを教えてくれたことを紹介した。ほかにも、生年月日や専攻、大学名、母親の旧姓などの個人情報を記入するアンケートに回答したら芝居のチケットをプレゼントするといった場合も、9割が素直に回答してしまったそうである。 このような手法にひっかかってしまう人たちについてミトニック氏は、 1)自分だけは騙されるようなバカではないという幻想を抱いている 2)人は何となく他人を信じやすいものである 3)セキュリティの手続きに従うのは時間の無駄と思っている 4)情報の価値を過小評価している 5)人は他人 (同僚) を助けたい気持ちを持っているものである 6)自らの行動がもたらす結果をわかっていない としている。つまり、言い換えれば誰でもひっかかってしまう可能性があり、それだけ成功率が高いということができる。また、特に同僚を助ける立場にあるヘルプデスク担当者が狙われる可能性が高いことも指摘している。 さらに、ソーシャルエンジニアリング攻撃によるセキュリティ侵害を防ぐ方法として企業に必要なものとして、 1)上級管理職の参画 (必須) 2)具体的な事例を挙げての啓発 3)社員が自らの問題と意識して参画できる仕組みの確立 4)何が機密情報であり、行動指針となるかを定義する単純なルールの整備 (ヒューリスティック=発見的問題解決) 5)「No」を代わりに言ってくれる仕組みの導入 を挙げた。5)の例として、なかなか「No」と言いにくい人情を鑑みて、代わりに着信を拒否してくれる「装置」が紹介された。 最後にミトニック氏は、情報セキュリティに必要なものとして、ソーシャルエンジニアリング攻撃の脅威に対する理解と不断の警戒、さらに自社の社員に対するソーシャルエンジニアリング攻撃を実際に行なってみる「侵入テスト」の必要性などを挙げた。 講演終了後、ミトニック氏が希望者に1人ずつ名刺を渡したいと言ったところ、あっという間に長い行列ができ、さながらアイドルの握手会の体をなしていたことが印象的だった。 関連情報 ■URL 日本ITイノベーション協会「情報セキュリティ勉強会」 http://www.npo-jita.org/event/20080519.html ■関連記事 ・ Zenlok、メール暗号化サービスを無料提供(2008/05/16)
( 山賀正人 )
- ページの先頭へ-
|
