|
|
|
 |
 |
 |
 |
 |
 |
 |
|
 |
|||||||||||||||||
 |
|
||||||||||||||||
インターネットセキュリティ講座 |
|||||||||||||||||
株式会社ネットワークボックス・ジャパン(NBJ)代表取締役社長の坂野直人(ばんのなおと)です。 |
|||||||||||||||||
ソーシャルエンジニアリング (Social
Engineering:社会工学) |
|||||||||||||||||
| 「社会工学」と訳されるSocial Engineering(SE)という学問は、元来ハッカーやクラッカーとはおよそ縁遠い「社会問題の解決や社会システムの制御を、工学的問題解決と同型的な方法論を用いて行おうとする立場をいう(世界大百科事典:日立デジタル平凡社刊)」学問なのだそうです。 ところがセキュリティの世界ではSEとは人間の頭脳や心理(これらを”Wetware”と呼ぶそうです)の脆弱性を突いて、パスワードなどの個人情報を盗み取る不正行為を総称した言葉になります。SEにはその目的や攻撃手法によってさまざまなパターンがあるようですが、基本的に人を欺く行為にかわりはありません。 SEはコンピュータに関する専門的な技術は何ら要求されない代わりに、相手をその気にさせる「演技力」という別の意味で高度な技術が求められるハッキングテクニックです。本講座では非常に多岐にわたるSEの手口のうち、主要なものだけをご紹介します。 |
|||||||||||||||||
| 【なりすまし】 (Impersonating) | |||||||||||||||||
| 「なりすまし」は読んで字の如く、個人情報の本来の所有者あるいは管理者になりすまして、それを搾取する行為のことです。SEとしてのなりすましの対象者と攻撃対象および手口をざっとまとめると下記の表になります。攻撃の手段としては電話やメールを使えば十分です。 |
|||||||||||||||||
|
|||||||||||||||||
 その他メールでのなりすましの卑近な例として、どこにでもいそうな女性の名前を使っていかにも久しぶりにメールしたようなメッセージを送りつける手法もあります(もちろん自分のアドレスが最近変わったという言い訳を忘れていません)。そしてWebサイトに最近の写真を投稿したので見てくれというメッセージとともにリンク先のボタンを表示します。これを押すとどうなるか?おそらく悪徳サイトのCookieを埋め込まれ、閲覧記録をことごとく吸い上げられる羽目になると考えられます。それを基にしてさらに過激なバナーを表示することで相手を深みに誘い出そうとする魂胆なのでしょう。このようなターゲットとなる相手のメールアドレスをどうやって調べるのか?これこそがSEの範疇だと思います。本人がどこかで記載したアドレスや送信したメールが悪意の第三者に転送されたのではないか?本人が属するメーリングリストがどこかに漏洩したのではないか?考えればきりがありません。 こういったメールにはご丁寧に送信拒否を依頼するためのメールアドレスが記載されていますが、これをうっかり信用すると大変危険です。相手は不特定多数のアドレスに無差別に送信しているわけですから、誰がメールを見たのか、あるいは実際に存在するアカウントなのかどうかも判っていないと考えられます。従ってこの種のメールに返信するということは、相手に対して自分の存在を知らしめる行為にほかなりません。これが引き金となって更なるSPAMメールの嵐に見舞われることは必至でしょう。 |
|||||||||||||||||
| 【ゴミ箱あさり】 (Trashing/Dumpster Diving) | |||||||||||||||||
| 企業から排出されるゴミに対して一昔前ではかなりの大企業でもずさんな面が見られましたが、今や環境や資源の見地から厳しい目が注がれるようになりました。ところが環境や資源の側面だけからゴミを見ると、セキュリティに関する側面が甘くなるという困った現象が生じます。 皆さんの職場では資源の有効活用の一環として不要文書の裏面を再利用していないでしょうか?その場合再利用後の紙はきちんと秘扱い文書として適切に処理されていますか?機密文書の裏面を不用意に伝言用のメモ用紙として机の片隅に置いていませんか?マシン室から排出されるダンプリストなどはメモ用紙としては誠に使い勝手がいいですね。でもそれがSEの格好の餌食になるのです。 手書きのメモなどに対しては機密であるという意識が働かず、そのままゴミ箱に廃棄される危険性があります。しかし、その裏面がユーザアカウント管理システムのダンプリストだったりしたらどうでしょう?クラッカーはビルの清掃員になりすまし、何食わぬ顔でゴミと化した機密情報を根こそぎ収集していくかもしれません。 |
|||||||||||||||||
| 【覗き見】 | |||||||||||||||||
| 第2回講座の「適切なパスワード設定」という項で「記憶力が許す限り長いパスワード」や「ありふれた名前や固有名詞などを避けて推定しにくいパスワード」を設定すべきだと述べましたが、実はこれが運用面では大変な困難を伴います。パスワードが必要なシステムが増えるに従い、ユーザはそれらを覚え管理するために多大なエネルギーを強いられるようになるからです。システムによって異なるパスワードを設定するほうがセキュリティ面では望ましく、またシステムによっては許容できるパスワードの長さや記号に制限があったりするので、必然的に異なる設定にならざるを得なくなるケースもあります。 結果として生じるのが、どこの会社でも少なからず見られるようにPCのディスプレイ枠に自分のパスワードを書いた付箋を貼り付けるという悪習です。これではパスワード管理を厳しくする余り「角を矯めて牛を殺す」の如く本末転倒のセキュリティの崩壊を招いてしまいます。もちろんこの状況をクラッカーが見逃すはずもなく、彼らは清掃員や取引先の人間になりすまして、これらの個人情報を覗き見しては盗んでいきます。 付箋を貼り付けるという愚を犯さなかったとしても、SEに長じたクラッカーならばキーボードを打つユーザの指の動きを見てパスワードを盗んでしまいます。全く油断も隙もないというのがSEの恐ろしいところです。 |
|||||||||||||||||
内部者の犯行 |
|||||||||||||||||
| この種のデータでいつも引き合いに出されるのが米国のFBIとCSI(Computer
Security Institute)が7年間にわたり毎年共同で行っている”CSI/FBI Computer Crime and Security
Survey:コンピュータ犯罪とセキュリティ調査”という調査報告です。これの2003年度版が現在公開されていますが、2002年度とほぼ同率の80%の企業が「内部者による不正」の被害に悩まされています。これは実にウィルス被害の82%に次ぐ2番目に深刻な問題であることを示しています。 同調査によるコンピュータ不正利用の被害額のデータもあります。これによると251社の調査対象企業で内部者による不正アクセス被害とインターネットの不正利用を合算した総額は約1,217万ドル(日本円で約13億3,000万円)と、あまり驚くべき金額にはなっていません。ところが機密情報の漏洩による被害額については、別の集計値として約7,020万ドル(日本円で76億5,000万円)であり、1社あたり年間3,000万円以上の被害になっています。 これらの情報漏洩が外部からのアクセスによるものか、内部からなのかは同調査を見ても判りませんが、これらの機密情報に最も身近に接しているのはもちろん企業内部の人間です。翻って日本国内では、顕在化している機密情報漏洩事件はたいてい内部者の犯行によるものですね。日本でも企業に対する旧来の忠誠心が希薄になってくるにつれて、内部の人間による機密情報の漏洩リスクが増大していることは確実でしょう。 |
|||||||||||||||||
身近な脅威への対策 |
|||||||||||||||||
 SEに対する対策も内部者の犯行に対する対策も、いずれも決定的な技術的解決策が存在するわけではありません。ウィルスやハッキングツールのように脅威の実体がソフトウェアである場合は、対策もソフトウェアのレベルで解決できます。ところが、これらの身近な脅威は相手が生きた人間です。ハードウェアやソフトウェアの技術を駆使してある程度は対策できても、最終的には人間的な泥臭い手段に頼らざるを得ないのが現状でしょう。 |
|||||||||||||||||
| 【ソーシャルエンジニアリング対策】 | |||||||||||||||||
| これはもう教育による一人一人の学習に頼るほか有効な防御策はないでしょう。SEという脅威に対する注意の喚起と、それらに対する対処方法を体系立てて学ぶ必要があります。またパスワードのような個人の機密情報の管理方法についても、一定のルールを設けて社内に徹底することが肝要です。パスワードの失念は誰にでも避けられない問題です。管理者は安易に問合せには応じず、二重・三重の個人認証を行うことも大切ですが、かといって業務に支障を来たさないような迅速な対応が可能なシステムも必要です。 秘扱い文書や機密情報の管理についてはインターネットセ・キュリティの範疇としてではなく、企業として当然なされるべき問題です。この基本なくしてどれだけセキュリティを強化しても意味がありません。資源の有効活用を推進しながら機密情報管理も徹底するという柔軟な運用体制が必要でしょう。 パスワードを入力するときは内部者といえども他人の目を意識することが必要と考えます。これはむしろ相手を被疑者にしないための配慮ともいえます。一方、他人が打ち込んでいるキーボードを覗き見る行為はセキュリティ以前のマナーの問題として許されないことと認識すべきです。 パスワードを付箋にメモして貼り付ける行為は言語道断なのですが、その動機については責められない場合が多いと思います。それを避けるための一方策として、最初のログインだけで利用する全てのシステムへのパスワード入力を代行してくれる「シングルサインオン」というシステムがあります。もちろん最初のパスワードが漏洩したらかえってリスクが大きくなるので、ICカードと組み合わせて利用するケースも見られます。 |
|||||||||||||||||
| 【内部犯行対策】 | |||||||||||||||||
| 最近は米国の企業ですら、従業員の会社に対する忠誠心が何よりも貴重な経営資源であるという認識に変わってきているようです。リストラを徹底させて合理化を追及し尽くした同国が到達した境地であるだけに、説得力があります。翻って日本では日本的経営の「三種の神器」の一つであった終身雇用が崩壊し、企業に対する忠誠心は死語と化してしまった観があります。米国の経営スタイルを追いかけた日本企業は、持っていた大切な価値を捨ててしまったことに後になって気付くのかもしれません。 内部者の犯行を防ぐ最大の防御策は、いうまでもなく企業に対する忠誠心の涵養でしょう。もちろんこれは上から強制できるものではあり得ません。従業員に愛される企業になるための経営努力が何よりも大切であることは論を待ちません。この努力が年間数千万円という情報漏洩被害を防ぐと思えば(金額に換算して不謹慎とは思いますが)安い投資だと考えます。 それでも従業員のコンピュータ不正利用を組織的に防ぐ必要がある場合は、「コンテンツフィルタリング」というシステムが役に立ちます。このシステムは、どのユーザがインターネットのどのサイトにアクセス可能かを規制する機能を有しています。業務に無関係なサイトへのアクセスを拒否したり、メール添付ファイルの属性を制限したり、インターネットを利用可能な曜日や時間帯を設けることも可能です。設定されたキーワードを監視して不用意な機密情報の漏洩も未然に防止できます。またデータの暗号化も情報漏洩に対して有効策といえます。 |
|||||||||||||||||
次回(第6回)は? |
|||||||||||||||||
| 今回はソーシャルエンジニアリングと内部者の犯行という身近な脅威について解説しました。次回は暗号化の基礎と応用技術についてお話しいたします。
株式会社ネットワークボックス・ジャパン |
|||||||||||||||||
| 第6回につづく・・・ | |||||||||||||||||
|
お問合わせは
こちら |
All Rights Reserved. Copyright© 2002-2008 UEL Corporation |