ハッカーがウイルスを送り込むために使う「ソーシャルエンジニアリング」とは?

528view

2016/09/29

(写真=PIXTA)

2016年に入り、バングラデシュ中央銀行や米国連邦準備制度理事会(FRB)へのサイバー攻撃など、金融機関への悪意を持った攻撃がさらに増加している。金融の分野でも情報セキュリティの重要性が今までになくクローズアップされている。

インターネット上の脅威の一つに「ソーシャルエンジニアリング(SE)」と呼ばれるものがある。社会学やSNSと関連するかのような名前だが、これはサイバー攻撃の一種で情報を入手する際に不正アクセスのような「技術」に頼るのではなく、人間の心理や行動の盲点・ミスを突いて「詐欺まがい」に情報を取得するものである。

本記事では、この「ソーシャルエンジニアリング(SE)」の脅威について取り上げる。

役職者を装って架電、「アクセス権を付与して」

ハッカーの脅威と言えば、「ITシステムの脆弱性を利用して不正アクセスをする」「Webサイトに不正侵入をして内容を改ざんする」といった技術的な側面からのものが取り上げられがちだ。

しかし、情報セキュリティの分野では、技術的な側面からのサイバー攻撃だけでなく、「人」を上手く操作することで情報を盗み出す「ソーシャルエンジニアリング(SE)」と呼ばれる手口がある。

「人を上手く操作する」とはどういうことなのか。例えば、オフィスで仕事をしている人に「ちょっとこの画面見せてよ」と言って見せてもらうとか、役職者を装って別部署に電話をかけて「いますぐアクセス権をくれないと、顧客のクレームにつながる」などと言ってアクセス権を取得する、といったように人を動かして情報を盗み出すものである。

情報セキュリティ対策でこれを防ぐことの難しさは「システム的な技術や対策では防ぎきれない」というところにある。このような人の行動に対しては、セキュリティコンプライアンスなどで社員を啓蒙していくしか方法がないのである。こういったところにソーシャルエンジニアリング(SE)による被害を防ぐことの難しさがある。

そもそも「ソーシャルエンジニアリング(SE)」とは?

ここでソーシャルエンジニアリング(SE)について、改めて詳しく見てみよう。

先の章で簡単に説明したが、ソーシャルエンジニアリング(SE)は人を上手く動かすことで情報を取得する手口だ。といってもなかなか理解しにくいもの。例えば、以下のようなものがソーシャルエンジニアリング(SE)の例である。

1. 清掃員になりすまして企業に入り込み、ゴミの中から情報を取得する。
2. 他人のディスプレイを覗き見て、情報を取得する。

この手法は一見地味に見える。しかし、ITシステムにハッキングするなどの特別な技術もいらず、また単にゴミ箱をあさったり、画面を覗いたりするだけなので成功する確率も高い。そういったことから、セキュリティ上の大きな脅威となっているのだ。

巨額の被害を出しかねないソーシャルエンジニアリング(SE)の「危険度」

人間の心理を巧みにつくことで情報を不正に取得するソーシャルエンジニアリング(SE)。手口の巧妙さや難易度の低さもそうだが、実際に発生すると巨額の被害を生み出しかねない危険性をはらんでいる。

例えば2011年に発生した東日本大震災の際に、米国で被害者の安否情報を収集する詐欺サイトが作られている。このサイトでは登録するとスタッフが電話をかけて、「自分も親類を亡くしました」などと言って油断をさせる手口をとっていた。この結果、多くの個人情報を不正に集めたのだ。まさに人間の心理を突いている。

また米連邦捜査局(FBI)も捜査に乗り出している「Business Email Compromise(BEC、ビジネスメール詐欺)」という手口では、2013年10月から2016年5月までの被害総額が31億ドル(約3,245億円)に達し、被害を受けた企業総数も世界中で2万2,000社にも及ぶとのことだ。

この手口では企業の幹部社員などに成りすまして、従業員に海外などへ多額の送金処理を指示する。指示された従業員は、幹部からの指示だから正しいと考えて送金処理を行ってしまうのだ。

これもまた「上司の指示であれば疑わずに従ってしまう」という人間の心理を巧みに突いているのだ。

「終わらない危険」ソーシャルエンジニアリング(SE)

とかくITシステムのセキュリティ上の脅威といえば、不正アクセスやマルウェア対策など、悪意を持った者が、技術を悪用して企業システムなどに不正に侵入して、情報漏えいを引き起こすものや、ATMや銀行のネットワークに侵入して、不正送金を行うといったシステムの脆弱性などを技術的に悪用するといったものが取り上げられがちだ。

しかし、それと同じくらいソーシャルエンジニアリング(SE)が脅威であることが分かるはずだ。ソーシャルエンジニアリング(SE)は「上司を騙って不正に送金させる」「人のディスプレイを覗き見て情報を取得する」など、人間の心理や行動の盲点・ミスを突いて詐欺まがいに引き起こされるものである。

そしてソーシャルエンジニアリング(SE)がなくならない理由は簡単である。技術上の対策として、更新プログラムを適用して脆弱性を塞ぐといったことがあるが、ソーシャルエンジニアリング(SE)の対策は「利用者に啓蒙していくしかない」のが現状だ。

しかし、セキュリティ対策を行う上で、ソーシャルエンジニアリング(SE)対策はウイルス対策などと同じくらい重要なものである。継続的に根気よく行う必要がある。

>> MUFGと協働し新しいサービスを創造!ビジネスパートナーシップ登録はこちら

>> スタートアップアクセラレータ“MUFGデジタルアクセラレータ”第2期説明会の参加登録はこちら

この記事が気に入ったら
いいね!しよう

INNOVATION HUBの最新情報をお届けします