ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃対策の重要性を解説

米国からの中継で講演を行ったケビン・ミトニック氏

　株式会社アズジェントは24日、「進化する標的型攻撃。ヒューマンハッキングの実態」と題したセミナーを開始。かつて世界で最も有名なクラッカーと呼ばれたケビン・ミトニック氏が、米国からの中継による講演を行った。

　ミトニック氏は、「攻撃者は一番弱い所を狙って攻撃してくる。私の経験上では、人の要素が一番弱いことが多い」と語り、人間の心理に入り込むソーシャルエンジニアリング攻撃について解説。銀行から電話だけで不正に1000万ドルを引き出した詐欺師の例を紹介し、ソーシャルエンジニアリング攻撃は電話をかけるだけでもできてしまい、OSの種類の違いやIPSのような対策にも関係なく、技術的なハッキングよりも簡単に行え、捕まるリスクも低いといったメリットが攻撃者にあるとした。

　ソーシャルエンジニアリング攻撃の有効性を示す事例としては、英国で「無料のギフトをあげるからパスワードを教えてくれ」と持ちかけたところ、約7割の人が教えてくれたという実験結果を紹介。「ソーシャルエンジニアリングはほぼ100％近くの効率の良さがある。セキュリティにおける真の問題は人間」だとして、技術的なセキュリティ対策に加え、ソーシャルエンジニアリング攻撃への対策の必要性を訴えた。

　また、ソーシャルエンジニアリング攻撃にも有用なツールが多く出回っているとして、最も簡単なところでは企業のウェブサイトなどから攻撃に必要な人物の肩書きを学ぶことができ、LinkedInなどのSNSも「非常に有用だ」と説明。また、企業が公開している文書ファイルなどからメタ情報を集めることで古いOSやアプリケーションを使っていることがわかり、攻撃の糸口にできるといった例や、古典的な手法だが“ゴミ箱あさり”で拾われた社内内線表や廃棄したHDDなどから攻撃につながった例などを紹介。こうした手口は現在でも極めて有効だとした。

　ミトニック氏はこうした事例から、企業には技術的なファイアウォールだけでなく「人間ファイアウォール」を構築する必要があると説明。「人は“自分は賢い”と思いたがるという“脆弱性”を持っている」として、攻撃に対して従業員に「各自の判断」で対応させないようにすることが重要だと指摘。誰も読まないような分厚いセキュリティポリシー集ではなく、現場の人間にもすぐに参照できる簡単なマニュアルを作ることや、ソーシャルエンジニアリング攻撃の演習を行って“人間の脆弱性”をあらかじめ調査することなどが重要だと語った。