海の向こうの“セキュリティ”

第87回

架空の新人「女性」職員を使った侵入テスト、成功率100% ほか

 11月も引き続き、米NSAの盗聴問題に関連して世界各国の諜報機関による「不適切な情報収集」にまつわる話題が様々に報道されたほか、仮想通貨Bitcoinに絡んだインシデントなどが報道されました。

 一方、日本では脱原発団体へのサイバー攻撃が起きたほか、国際的なクラッキングコンテスト「Mobile Pwn2Own」が開催されました。また、大手マスコミが複合機からデータが丸見えになる可能性について報道したことも注目を集めました。

中国はマルウェア遭遇率は高いが、感染率は日本よりも低い? MSレポートの謎

 Microsoftは10月29日、半期に1回公開している「マイクロソフトセキュリティインテリジェンスレポート」(以降、SIRと略)の2013年上半期を対象とした第15版を公開しました。

 すでに日本語版の要約も公開されていますので、全体の概要についてはそちらをご参照いただくとして、今回もSIRの特徴である国や地域ごとに詳細にデータをまとめている点に着目し、いくつか紹介します。

 SIRでは、マルウェアの感染率について「悪意のあるソフトウェアの削除ツール(MSRT)」を1000回実行した際に駆除を受けたコンピューターの数を示す「Computers Cleaned per Mille(CCM)」を測定基準として使っています。今回のSIRではCCMに加えて新たに「遭遇率(Encounter rate)」を導入しています。これはMicrosoftのリアルタイムのセキュリティ製品でマルウェアを偶然見つけた、または遭遇したコンピューターの割合としています。つまり、脅威にさらされた割合を意味していると言えます。

 最も感染率の高い5地域をまとめたのが図1、最も遭遇率の高い5地域をまとめたのが図2です。

図1
図2

 遭遇率が高ければ感染率も高くなると予想できますし、確かに上記2つでは重なっている地域もありますが、実際には必ずしも一致しておらず、中でも韓国のように遭遇率に対して感染率が異常に高い国もあります。これをもって韓国がマルウェア対策の弱い国と断定するのは早計ですが、かなり目立ちます。

 逆に最も感染率の低い5地域をまとめたのが図3、最も遭遇率の低い5地域をまとめたのが図4です。

図3
図4

 こちらはいつも通り北欧と日本が挙げられており、遭遇率の低さと感染率の低さが一致しています。

 ただ、この「最も感染率の低い5地域」にはおかしな点があります。日中米の感染率をまとめた図5(および韓国を含めた図6)を見れば明らかなように、日本より中国の方が感染率が低いにもかかわらず、「5地域」に選ばれていないのです。一方、遭遇率を示した図7では、中国が日本はおろか世界平均よりもかなり高いことが分かります。

図5
図6
図7

 これらの数字だけを見れば、中国は遭遇率が高い(≒多くの脅威にさらされている)にもかかわらず感染率が低い、つまりマルウェア対策が比較的進んでいる(と判断できないこともない)国なわけです。これは直感的なイメージとは違いますし、理由について今回のSIRでは具体的に言及されていませんが、中国のマルウェア感染率の低さは中国のみで広まっている(≒中国語版Windowsにのみ感染する)マルウェアの存在のためであるとの推測もあるようです。

 いずれにせよ、実際に観測された感染率が極めて低いにもかかわらず、Microsoftがなぜ最も感染率の低い5地域」に中国を入れなかったのかは謎です。

 ただ、マルウェア配布サイトの割合については図8が示すように世界平均よりもかなり多く、これは直感的なイメージにも合致します。

 国際的な比較という点では、今回のSIRに特筆すべき内容はありませんでしたが、新たに導入された「遭遇率」はなかなか興味深い指標であり、セキュリティに関する様々な国や地域との比較資料を作る際の情報源として、SIRの価値が一段と高まったのは間違いないでしょう。

架空の新人「女性」職員を使った侵入テスト、成功率100%

 10月末にアムステルダムで行われた「RSA Conference Europe 2013」で、セキュリティの研究家Aamir Lakhani氏らが、ある米国の政府機関に対して正規の依頼に基づいて2012年末に行なった侵入テストの結果を報告しました。

 これは架空の女性新人職員を装い、FacebookやLinkedInを介して対象機関の職員らに接触、当該機関内のネットワークに侵入できるかなどを試したものです。

 ソーシャルメディア上に作り上げた架空の女性を使った実験と言えば、3年以上前に報道された「ロビン・セージ実験(Robin Sage Experiment)」を記憶されている方もいると思います。Lakhani氏もこの実験がヒントになって、今回のテストを実施したのだそうです。

 テストで用いられた架空の女性の名前は「Emily Williams」。当該機関の近くにあり、職員の多くが利用しているレストラン「フーターズ」のウエイトレスの写真を、本人の同意を得た上で「Emily Williams」の写真として使っていたそうですが、誰も気付かなかったそうです。

 今回のテストでは、単にFacebookやLinkedInに架空のアカウントを用意しただけでなく、インターネット上で検索しても矛盾がないように、周到に「彼女」のプロフィールを用意しています。例えばMITの卒業生であるなど、当該機関の職員として相応しい経歴を設定し、他のウェブサイトやMIT関連の掲示板などにも情報を掲載しました。その一方で「大卒の28歳で10年の経験がある」という不自然さを残していたにもかかわらず、その点から今回の「嘘」がバレることはなかったようです。

 こうして周到に準備して作り上げた「彼女」をソーシャルメディア上に「誕生」させてから、わずか15時間で、対象機関の職員および下請け業者60名のFacebookアカウント、55名のLinkedInアカウントとつながりを持つことができ、また最初の24時間で仕事をオファーしてきた企業が3つもあったのだそうです。

 今回のテストは90日間に渡って行われましたが、Lakhani氏らの目的は、最初の1週間で達成できてしまい、残りの期間は「いつまで続けられるか」だけだったようです。

 こうして「彼女」は、技術的な手法は全く使わずに、対象機関のVPNアカウントを手に入れるなどして内部ネットワークに入れるアクセス権限を得ただけでなく、ノートパソコンまで手に入れることができたのです。しかし、Lakhani氏らは別の方法で侵入を試みました。

 今回のテスト期間中には感謝祭、クリスマス、大晦日といった大きなイベントがあったため、それに便乗して「彼女」から送られたソーシャルメディア上のメッセージを介したマルウェア感染により、ソーシャルメディアで繋がっている職員らの業務用PCに侵入しました。罠にかかった中には下請け業者もあり、しかもアンチウイルスベンダーの社員もいたそうです。

 さらにLakhani氏らは、Facebook上での他の職員らのやり取りで情報セキュリティ担当者の誕生日を知ることができました。しかし、その担当者はソーシャルメディアにアカウントを全く持っていなかったため、誕生日を知っていた職員らを装って、その担当者にバースデーメッセージを送りつけることでマルウェアに感染させ、機密情報へのアクセス権限を手に入れることができたのです。

 Lakhani氏らは今回と同様のテストを銀行やクレジットカード会社などの大手金融機関や医療機関などにも実施したそうですが、結果は完全に同じで、侵入テストにソーシャルメディアを組み合わせれば成功率は100%だとしています。しかも、高度な技術は全く必要としていません。

 今回のようなケースでは、初めの段階で人事部に確認すれば、すぐに偽者だと分かるにもかかわらず、誰もそれをしなかったという問題点をLakhani氏らは指摘しています。人は基本的に他人を信じて助けてしまう生き物であること、また「彼女」が最初の段階で接触したのは、対象機関の関係者の中でも機密情報を扱うような部署ではなく、その周辺の部署の人々であり、そのような人々が自分が狙われる可能性を全く意識していないことが問題だとしています。こうした周辺の人々を信じさせることを皮切りに、ソーシャルネットワークを徐々に大きくしていくことで、経営層はもとより、セキュリティ意識が高い職員ですら騙すことができてしまうのです。実際、今回のテストの対象機関ではすでにセキュリティに関する訓練を実施しており、職員の意識は低くなかった(と断言できるかは微妙ですが)にもかかわらず、それでもこのような「残念な結果」になったのです。

 Lakhani氏らは、今回のテスト結果を踏まえ、いくつかのアドバイスもしています。

  • 職員を名乗る不審人物を見つけたらすぐに人事部に連絡する
  • 業務に関するものはソーシャルメディア上に載せない
  • 職場で使用するPCをソーシャルメディアなどの個人的な目的で使用しない
  • パスワードを使い回ししない
  • ネットワークの1つが侵入されても他のネットワークが守られるようにネットワークを分離する

 いずれも当たり前のことですが、こういった当たり前のことがいかに実践できていないかを示す結果だったとも言えるでしょう。

 ちなみに、Lakhani氏らは、架空の「男性」新人職員を使って同様のテストを行なったそうですが、ソーシャルメディアで繋がった職員は誰もおらず、何の成果も得られなかったそうです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。