ニュース

ソーシャル・エンジニアリング~ヒューマンハッキングの実態とは

クリストファー・ハドナジー氏講演レポート

 セキュリティサービス「セキュリティ・プラス」を開発・販売する株式会社アズジェントは5月24日、「進化する標的型攻撃。ヒューマンハッキングの実態」と題したセミナーを都内で開催した。ここでは、クリストファー・ハドナジー氏の「Social Engineering: The Art of Human Hacking」と題した講演をレポートする。

 クリストファー・ハドナジー(Christopher Hadnagy)氏は、ソーシャルエンジニアリングの監査やペネトレーションテストなどのコンサルティングサービスを行なっており、今回の講演と同じタイトルの「Social Engineering: The Art of Human Hacking」という著書がある。

ソーシャル・エンジニアリングとは

クリストファー・ハドナジー氏

 ハドナジー氏はまず、「ソーシャル・エンジニアリングはいま最も重大な脅威で、法人、自治体、政府などの組織から、個人にも、我々一人ずつに影響を及ぼしている」と前置きし、「ソーシャル・エンジニアリングというのはそもそも何かということをよく聞かれるが、広義には、相手に特定の行動を取るようしむける行為を指す。親が子どもに話をする、あるいはカウンセラーや教師、上司が話をするといった、プラスの方向に影響を及ぼすというポジティブな使い方もある。しかし狭義には、そしてセキュリティについて語られる場面でソーシャル・エンジニアリングと言えば、誰かに対して、ネガティブな行動を取るように、たとえばデータを盗む、あるいはお金を盗むというような形で搾取することを指している」とソーシャル・エンジニアリングの定義について述べた。

 「ここ12カ月から16カ月以内の間に、anonymousなどのハッキング集団によって、シティバンク、ソニー、Amazonといった企業がハッキング被害を受けた。それぞれ、ソーシャル・エンジニアリング的な面をうまく突いての攻撃だったと思う。攻撃者は、ユーザー名とパスワードを入力する偽装ページを用意して、本物のページと誤認させてユーザー名とパスワードを盗むといった単純なフィッシングで、こうした大企業が被害を受けてしまう」とハドナジー氏は世界的な大企業も被害を受けた例を挙げた。

 「シティバンクの場合は、悪意あるサイトのURLに誘導することで情報を盗んでいる。ソニーの攻撃では、6本の電話がソニーにかかってきた。攻撃者は6本の電話から別々に得た情報を一緒にすることによってSQLインジェクションのステートメントを送り込むことに成功し、そこから攻撃をかけたというパターンだ」。

 またハドナジー氏は、apwg.org(http://apwg.org/)というAnti-Phishing WorkgroupというNPO組織が運営するサイトを紹介。Anti-Phishing Workgroupが発表した、フィッシング攻撃がいかに経済に影響を及ぼしているのかという報告書によれば、金融企業が34.4%、決済サービスが32.1%と、金融や決済を扱う組織がもっとも被害を受けているという状況だと述べた。

 「みなさんも、Paypalや銀行、金融機関からのメールを受け取って、それがフィッシングメールだったという経験が一度はあるでしょう。」

金融、決済といった業種が狙われている(apwg.org、2012年第2四半期の調査)
インターネットユーザーの半数以上が、1日1通以上のフィッシングメールを受け取っている

ソーシャル・エンジニアリングの3つの手法

 ハドナジー氏は、ソーシャル・エンジニアリングに使われている手法は3つあるとして、「まずフィッシング、つまり電子メールベースの攻撃がある。次に電話による勧誘、あるいは詐欺があり、これは電話によって個人や企業に関するデータを盗む手法となる。3つめが、テールゲート、あるいはなりすましと呼ばれる手法で、これも非常に効果的ということで数が増えている」と述べた。

手法1:Phishing(フィッシング)

 ハドナジー氏は、「インターネットユーザーの半数以上が、少なくとも1日1通のフィッシングメールを受け取っている。2011年のデータでは、1日に1000億通以上のスパムメールが送信されており、2012年の第1四半期には、6億8700万ドルの被害が発生している」とフィッシングメールによる被害の大きさを説明した。

 続いてハドナジー氏は、フィッシングメールの実例を上げて具体的に説明した。「Microsoftを騙るフィッシングメールの例では、誘導されるURLは完全に偽物のURLで、本文には“Your computer is out of date, and risk is very high. ”と書かれていた。非常にリスクが高いと告げることで、なんとかしなくてはならないという気持ちにさせようとする。ロゴは、マイクロソフトのロゴに似せた偽物だが、多くの人は残念ながら気づかず、フィッシングサイトの指示通りクリックして、メールアドレスやパスワードなどの情報を入力してしまう。」

 「もう1つ、PayPalを騙るフィッシングメールの例を見ると、送信者アドレスが“notify@paypal-web.com”となっており、完全に偽物だということがわかる。件名は“Your Paypal.com transaction confirmation.”で、非常に汎用的な件名が付けられている。本文を見ると、何百ドル、何千ドルという高額な商品の代金をあなたのpaypalアカウントから支払ったという内容だ。こういうメールを受け取ったら、本当にこれを払ったのかと誰でも不安に思う。この不安から、クリックしてしまう。クリックすると、ウェブページに飛んでいき、もちろんログインを強いられる。そこでPaypalのアカウント情報を入力してしまうと、それが攻撃者に渡り、悪用されてしまう。」

 「Facebookを騙るフィッシングサイトの例では、URLが偽物であるほか、ページ最下部の著作権の表記が2010年と、実際の年度よりも2年も前の著作権表記になっている。しかし、ぱっと見ただけでは、ロゴもあるしウェブページの見た目が同じということで、気づかずにログインしてしまい、攻撃者に情報が渡ってしまう。」

フィッシングサイトの例。左がMicrosoft、右がPayPal。いずれもドメインが正規のものではないのでドメインを注意して見れば判別できる
Facebookのなりすましサイト。こちらもドメインは正規のものではなく、著作権表記が2年も前になっているが、ぱっと見ただけでは判別しにくい

手法2:Phone Elicitation(電話による詐欺)

 次にハドナジー氏は、電話による詐欺について「ICCという米国の組織の調査によれば、これは米国内の数字になるが、2012年には電話による詐欺が33%増加している」と被害が増加していることを説明した。

 ハドナジー氏は具体例として、日本の東日本大震災の時に、ソーシャル・エンジニアリングによる多段攻撃が仕掛けられた例を挙げた。

 “米国国民で、知人や親戚が津波や地震で行方不明になっていたら探します”というウェブサイトが攻撃者により立ち上げられた。ウェブページで、“日本への電話もつながらない、メール連絡も取れない、この東北にあなたの知り合いがいませんか”と呼びかけており、“日本政府とも連携している、費用は必要なく、行方不明者の情報が判明しだいお知らせします”と書いてあった。

 さらに、“行方が判明ししだいお知らせします”として、自分の名前とメールアドレス、自宅住所、電話番号、生年月日、また探している人の名前と生年月日も書いてくださいと情報入力を促していた。「金融や金銭に関わる情報は、そこでは一切求められていない。このウェブページは、震災から8時間後には立ち上がっていたことがわかっている。」(ハドナジー氏)

 「2日目に、このサイトを立ち上げたグループは女性に電話をかけさせる。この電話をするのは必ず女性で、というのは、とくに誰かが亡くなったかもしれないといった時には、女性の声に、より感情的に惹きつけられるからだ。電話をかけてきた女性は、“自分も今回の津波で弟が亡くなりました”、あるいは“父、母を亡くしました”といったことを言う。同じように自分も愛する人を亡くしました、と言われることで、彼女も身内を失った、日本とのつながりがあるんだなということでより一層感情的に引き込まれてしまう。そして女性は、日本の救援基金、これは偽の活動なのだが、ここで募金を募っていますと切り出す。クレジットカードはダメなので送金をしてほしい、として銀行のSWIFTコード(送金のための銀行の識別コード)、口座番号を伝え、少額の寄付――たとえば25ドルとか50ドルを送金してほしいと言ってくる。電話を受けた人は同じ災害で大事な人を失った彼女に感情移入しているので、送金してしまう。」

 「3日目に、男性が電話をかけてくる。いかにも当局であるということを装うために、今度は男性が使われる。攻撃者には、送金をしたことで銀行のSWIFTコードはすでにわかっていて、フリーデータベースで調べれば、どの銀行のどこの支店かということまでわかる。男性は、“こういう送金データがありますが、日本の救援基金に25ドル送金することに間違いないか”と聞き、被害者が“間違いありません”と答えると、“では情報確認をさせてください”。という。この時点で攻撃者には、すでに被害者の名前、メールアドレス、生年月日、自宅の住所、電話番号、銀行のSWIFTコード、口座番号までわかっている。そこで、“あとひとつだけ確認をさせてください。それで送金手続きをします”と言って、社会保障番号を聞き出す。」

 「3日間で、住所、氏名、メールアドレス、電話番号、生年月日、銀行名と支店名(SWIFTコード)、口座番号、社会保障番号も渡してしまったことになる。また、日本にいる親戚の生年月日や名前まで教えてしまっている。攻撃者がたとえば、日本で信用供与を得ようとする場合、被害者のアイデンティティがそっくり盗まれてしまっているため、融資を受けたり、クレジットカードを作ったり、住宅ローンや自動車ローンを組むこともできるかもしれない。そうなれば被害者は非常に大きな苦難を舐めることになる。攻撃者というのは、被害者が企業であれ個人であれ、相手を傷つけても小切手さえ集められればかまわない、そういう連中です。」

 ハドナジー氏は、同時多発テロやサンディフック小学校銃乱射事件などの大きな事件があると、同じように電話を使った攻撃が行われて、悪意ある攻撃者の手の中に落ちてしまうと述べた。

電話による詐欺の被害は2012年に33%増加
東日本大震災、同時多発テロ、多くの被害者が出た事件などが、電話を使った攻撃に利用されやすい

Tail Gating / Impersonation(なりすまし)

 ハドナジー氏は、Tale Gatingは、世界の中で米国で最も多く起こっていると説明。これは、何をもって人を信用するかという問題だと指摘する。

 「服装を見てその人を信用するということがある。たとえば、UPSの服を着ていれば、米国の場合はすぐにビルの中に入れてくれる。侵入テストなどで試すと、茶色の服を着て箱を持っていればUPSと思われて、残念ながらビルに簡単に入れてしまった。わたしがよくなりすますのは、たとえば、日本では事情が違うかもしれないが、ゴミ回収の清掃人です。なぜゴミ回収の人が簡単に入れるのかというと、米国の場合は誰も見ていない。誰も話しかけない。ゴミ回収の人のような服を着れば、ビルに入っても“ああ、清掃人だな”と思って誰も気にしない。わたしも企業の監査のために侵入テストをしたが、誰も話しかけない、誰も止めないのですぐに入れてしまった。」

 ハドナジー氏は、人をどう判断するか、その際の思い込みがポイントになっていると指摘した。

 また、ハドナジー氏は社員証偽造によってもなりすましが可能だと説明した。ハドナジー氏は、Microsoft社の社員証を作ってみたという。Microsoftの社員証は、SNSのページに上がっているものをコピーして、自分の写真データを貼って、100ドルのバッジプリンターで印刷。Microsoftだけでなく、いろいろな企業の社員に試してみたが、偽物だとはすぐにわからなかったという。「本物のように見えるので、これを付けてビルの中に入れてしまう。こうしたなりすましは、ハッカーやソーシャル・エンジニアによってますます多用されるようになってきている。」

 IC認証のあるゲートを持つオフィスでは見た目が似ているだけの社員証では侵入できないが、目視による確認のみであれば、簡単に偽装できるということになる。

 またハドナジー氏は、イスラエルのモサドが、CIAのエージェントになりすましてイラン関係の情報を盗もうという事件があり、ニュースにもなったと述べ、なりすましは企業だけでなく政府組織などを対象としたケースもあることを示した。ニュージャージ州では、CIA職員になりすまして罰金を課すという事件があり、ジョージア州では、バッジを作ってNSA(アメリカ国家安全保障局)のエージェントになりすまして個人情報を盗んだ事件もあったという。

 ハドナジー氏は、もうひとつ非常に興味深い例として銀行強盗の事件を挙げた。犯人は仲間と手を組んで、銀行に行き預金を引き出すふりをしていて、2人の仲間が強盗役として金を要求。犯人は、FBIのエージェントで銃を携帯しており、仲間である強盗犯人を取り押さえるという芝居をしたうえで、銀行窓口の担当者に、銀行のすべての金銭が証拠になると言って、銀行からすべての現金を押収する。2人の仲間に手錠をかけて、「後で警察が来ますから」と言い残して仲間とともに現場を去る。しかし、もちろん警察は来ない。「FBIの人に助けられたと思っていたら、現金をすべて盗られてしまったという事件です」。同様の手口で3つの銀行が襲われた後、犯人は捕まったという。

簡単で有効性の高い、服装によるなりすまし
モサドがCIAエージェントになりすましてイラン関連の情報を盗もうとした事件と、男がNSAエージェントになりすまして、個人情報を盗んだ事件を報じるニュース

なぜソーシャル・エンジニアリングを使うのか

 ハドナジー氏は、「なぜ、ハッカーはソーシャル・エンジニアリングを使うのかというと、簡単だからです」と説明した。

 「ソーシャル・エンジニアリングというのは、とにかく簡単に個人の口座情報や企業の情報を収集できる。ソフトウェア・ベンダー、例えばチェックポイントなどは非常に優れていて、高いセキュリティのソフトウェアやハードウェアアプライアンスを作っている。こうしたハードウェアに侵入するのは非常に難しいが、ソーシャル・エンジニアというのは、ともかく電話をかける、あるいは電子メールを送るだけ。ファイアウォールの心配をする必要もないし、IDS/IPSといったシステムの心配をする必要もない。先ほどの例のように、ウェブページのフォームや2本の電話で非常に簡単に情報が取れてしまう。」

 ハドナジー氏はこうしたソーシャル・エンジニアリングで起こる被害として、米国では個人情報漏えいでは1件につき約194ドルのコストがかかると述べた。「もしも銀行がハッキングされて、10万件の顧客情報が漏れたとしたら、10万件×194ドルかかることになる。平均して、1回の漏洩につき、550万ドルのコストがかかるというデータがある」として、大変な損失になることを数字を上げて説明した。

ソーシャル・エンジニアリングの波に備える

 ハドナジー氏によれば、実は、日本ではまだそれほどソーシャル・エンジニアリングによる被害が横行しているという状態ではないという。「わたしも日本で講演することになるとは考えていませんでした。しかし、主催のアズジェント社は、この先にはソーシャル・エンジニアリングの大きな波が来ると予測して、今回のセミナー開催に至ったわけです」と述べ、今後予測されるソーシャル・エンジニアリングによる攻撃を企業としてどう見分けるのか、どうしたら防げるのかを啓蒙するために、アズジェント社と提携することになった経緯を説明した。

 なお、今回のセミナーの主催者であるアズジェント社の講演では、ハドナジー氏と、同じセミナーでビデオ中継による講演を行ったケビン・ミトニック氏によるトレーニングコースがアズジェント社主催で開設される予定であることが紹介された。

 ミトニック氏による「Kevin Mitnickコース」は、オンラインによるトレーニングコースで、ソーシャル・エンジニアリングによる攻撃の予防対策をテーマに、今秋より開講予定。ハドナジー氏による「Chris Hadnagyコース」は、座学でソーシャル・エンジニアリングで用いられる手法の習得をテーマに、今年度中の開催に向けて準備中であるという。

(工藤 ひろえ)