orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

ソーシャルエンジニアリングという名前がちっとも攻撃っぽくない

f:id:orangeitems:20180513011110j:plain

 

前例のない手口?

NHKスペシャル「仮想通貨ウォーズ~盗まれた580億円を追え!~」、という番組がNHK総合で昨日放映されました。その関連の記事が気になりました。

 

www3.nhk.or.jp

前例のないサイバー攻撃の手口が明らかになりました。ことし1月、大手交換会社から巨額の仮想通貨が流出した事件で、犯人は半年余り前からこの会社の複数の社員と偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことが関係者への取材でわかりました。

 

これって、典型的なソーシャルエンジニアリングでは?。まあだいたい、ソーシャルも、エンジニアリングも、悪そうな語感じゃないので、攻撃っぽく聞こえないのが悪いですよね。で、記事をよく読むと、ソーシャルエンジニアリングで多額の金を奪ったのが前例にないという意味のようでした。

 

ソーシャルエンジニアリングとは

面白い記事ないかな?と思って調べたところ、昨日出たばかりのこの記事はいかがでしょうか。

www.gizmodo.jp

 

なんだか、キャッツアイとかルパン三世とかを思い出してしまうようなエピソードが並んでいます。どんなに強固な防御システムを作ったところで、そこに鍵があり人が管理している限り、人が最大の弱点なんだと。人は暗号化できませんものね。それこそ、厳重な管理がされたシステムのあるビルから、管理者が帰宅途中にたまたま近所の飲み屋に入った時、機密情報が飲み屋にあるわけですね。でベロンベロンになって、システムのー、パスワードのー、なんて大声でしゃべってるのを誰かが聞いていてですね。というのがソーシャルエンジニアリングですね。

最近はSNSとか流行っているせいで、ソーシャルエンジニアリングというと新手の開発手法みたいに聞こえるのが本当にミスリードになっている言葉というか。

 

今回の手口も海外なら日常茶飯事

こちらの記事に、コインチェック事件の手口と類似そうな話があります。

techtarget.itmedia.co.jp

そこで注目されるのが、ソーシャルエンジニアリング攻撃(注)だ。これは人に対する攻撃であるため、技術的な対策は難しい。そして、その手口は画面ののぞき見や電話詐欺のようなものから、ソーシャルネットワーキングサービス(SNS)を攻撃の要素として利用するように変わってきている。

(中略)

Mia Ashは、「Facebook」や「LinkedIn」に実在すると思われる人脈や写真を用いる。この攻撃は、従来のフィッシング攻撃によく似ており、信頼される電子メールに悪意のあるURLや添付ファイルを潜ませる。

 

真実はわからないのですがいい線行っていると思います。今のソーシャルエンジニアリングは、昔の漫画的な手口からSNSを使った手口に変わってきているんだぞ・・と。別に本当に(リアル世界で)知り合いにならなくても、親しくなれるシステムがインターネットに満ち溢れているわけですね。

下記は総務省のソーシャルエンジニアリングの説明資料ですが、

ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

・電話でパスワードを聞き出す
・肩越しにキー入力を見る(ショルダハッキング)
・ごみ箱を漁る(トラッシング)

 こちらに、「SNSで知り合い信用させてマルウェアを送りつけて開かせる」っていうのを入れた方がいいのかもしれませんね。ソーシャル=リアル世界という解釈が時代遅れ。

 

顔の見えない相手にご用心

ネットで顔を見えない相手の場合、知らない人には攻撃的になりがちですが、知り合った人は理想化しがちだと思っています。悪いところが見えにくいので過大評価してしまい必要以上に信用してしまうのです。

くれぐれも、SNSで騙されて情報を引き出されないよう、気をつけましょう。