SQAT® Security Report 2020-2021年 秋冬号掲載
※本記事は、2020年10月公開「SQAT®Security Report 2020-2021年 秋冬号」の記事、「人という脆弱性~ソーシャル・エンジニアリング攻撃~」の一部抜粋になります。
ここ数年、ソーシャル・エンジニアリングを用いた攻撃による大規模な事件が多数発生している。
・2015年に発生した日本年金機構の大規模な情報漏洩事件*1
・2017年の大手航空会社が3億8000万円をだましとられた事件*2
・2018年の暗号通貨の不正送金事件*3
・2020年7月に起きた大手SNSの大規模アカウントハック事件*4
これらはすべてソーシャル・エンジニアリングを用いた攻撃に端を発しているといわれている。ソーシャル・エンジニアリングを用いた攻撃の高まりを受けて、IPA(独立行政法人 情報処理推進機構)が「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」*5 を発表したのが2009年であるが、10年以上が経過した今も、ソーシャル・エンジニアリングを用いた攻撃は、収まる気配がない。それは、ソーシャル・エンジニアリングが持つ、人間という脆弱性を狙う性質に原因がある。
ここでは、今一度、ソーシャル・エンジニアリングと人間とのかかわりを考えていきたいと思う。
攻撃者の目線
サイバー攻撃を行う場合、攻撃者はいくつかの手段を選択することができる。その選択肢の中で、システムの脆弱性を攻撃して目的の情報を盗みだすことよりも、人間を狙って攻撃する方が、少ないコストで多くの利益を得ることができると、彼らはときに考える。それが、人間という脆弱性を狙った攻撃、つまりソーシャル・エンジニアリングを用いた攻撃である。ここでは人間をシステム全体に対する脆弱性ととらえて、解説と対策を語っていきたい。
ソーシャル・エンジニアリングとは?
そもそも、ソーシャル・エンジニアリングとは何なのだろうか? ソーシャル・エンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏は、著作『ソーシャル・エンジニアリング』(日経BP社)の中で、ソーシャル・エンジニアリングを「人を操って行動を起こさせる行為。ただし、その行動が当人の最大の利益に適合しているか否かを問わないこともある」と定義づけている。これには警察官、弁護士、医師といった人々が、標的当人の利益となるように誘導するといったケースも含まれているが、一般的にサイバー攻撃におけるソーシャル・エンジニアリングとは、不正アクセスするのに必要なシステム情報、アカウント、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などから人間の心理的な隙や、行動のミスにつけ込んで手に入れる手法と位置付けられることが多くなっている。ソーシャル・エンジニアリング攻撃の定義は様々なものがあるが、その共通するところは、人を介して攻撃を行うという点である。
人が持つ心理的脆弱性
では、なぜ人が脆弱性となってしまうのか、この点について、原因の一つとなっていると考えられる、人に存在する心理的脆弱性を見ていきたい。ハドナジー氏は人には以下のような8つの心理的脆弱性が備わっていると主張している。
返礼
人からの親切に対し、お返しをせずにはいられない特性
例
プレゼントのお返しに、何かしてほしいことはないかと聞く。
義務感
社会的、法的、道徳的に、人がなすべきだと感じている行動をとってしまう特性
例
身体が不自由な人に、積極的に手を差し伸べなくてはならないと考えて寄付を行う。
譲歩
何かを譲ってもらったら、同じように譲らなくてはならないと考える特性
例
相手の大きな要求を最初に断ったのだから、次の小さな要求には応じてあげたいと考える。
本記事はここまでになります。
この記事の続きでは、こちらでご紹介した以外にも、人に対する過度なストレスを与える攻撃、など心理的弱みを突く攻撃「ソーシャル・エンジニアリング」のメカニズムを徹底解説しています。 ぜひご一読ください。
※参考(続き)
contents
4.人へのバッファオーバーフロー攻撃
5.人間の隙をつくソーシャル・エンジニアリング攻撃
6.テクノロジーが人間を追い詰める
7.ソーシャル・エンジニアリングに対する防御
8.おわりに
下記より無料でダウンロードいただけます。
まずは無料で資料をダウンロード
年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。
Security Report TOPに戻る
TOP-更新情報に戻る
