注意！｢情報漏洩｣は､ほぼ社員がリスク源だ ソーシャルエンジニアリングに警戒せよ

余談だが、サイバー・インテリジェンスの世界では「バーチャルアバター」と呼ばれる「仮想人物」を作り上げて標的に近づくことがしばしば行われる。とてもフレンドリーなネット友達は実は実在していなかった、なんてことがあるのだ。あなたの友達はリアルに実在する友達だろうか？

ソーシャルエンジニアリングを用いた攻撃手口のひとつとして、USBメモリやDVD-ROMなどの外部記憶媒体を利用した攻撃も忘れてはならない。取引先を装い不正プログラムが保存されたメディアを標的企業に郵送するケースは日本でもしばしば見られる攻撃だ。過去には銀行を装って利用者にマルウェアが保存されたCD-ROMやDVD-ROMが配布された事案が報告されている。

また、広報部門のように外部からの郵便物をチェックする部門を狙っての標的型攻撃でも見られる。当然、仕事なので送られてきたメディアは確認せざるを得ない。この惰性で行う作業は攻撃者にとって格好の標的となるのだ。送りつければ、ホイホイ中身を確認してくれるのだから、攻撃者にとっては郵送費を支払ってもその価値があるわけだ。忘れがちだが、デジタルカメラやICレコーダなどのようにデータが保存可能、かつPCへデータ移行が可能なデバイスはいずれもリスクがある。

2016年5月に米イリノイ大学が興味深い報告をしている。この報告では297個のUSBメモリを学内にばらまいたところ、49%がPCに接続し保存されているファイルをクリックしたということだ。本論文ではネットワークに未接続のPCはカウントされていないとのことで、実際はさらに多いのではないかとみている。本実験では数パターンのUSBメモリがばらまかれているわけだが、いずれもPCに接続されている。どうも多くの人間は、持ち主不明の外部記憶媒体が不意に落ちていれば心理的に中身を確認したい衝動に駆られるようだ。

サイバーとリアルのセキュリティは密接に繋がっている

サイバー・セキュリティの世界はその名とは裏腹にサイバー空間だけでは完結しない。実際はリアル社会と密接な関係がある。その意味では組織内へのリスクアセスメントやペネトレーションテストなども従業員の心理面まで考慮したテストが必要なのだ。

だが、残念なことに日本ではまだあまりサービス提供しているセキュリティベンダーが少ないことも事実だ。それを知ってか、2020年ビジネスを目論む外資系のセキュリティベンダーがこれらのサービスの売り込みを始めている。ちょうどタイミング的には良いと思うので、潤沢な予算を持つ危機意識の高い先進的な企業は是非試して頂きたい。ついでに、筆者にも感想を聞かせてもらいたいくらいだ。

余談だが、大手企業などではPCサポート部門でPCの設定や障害対応を請け負っている。正規の従業員が行っていることもあれば、協力会社を利用していることもあるだろう。このような部門がある読者は思い出して欲しいのだが、笑顔の素敵な女性スタッフが、「パスワードをこの紙に書いてくださいね♪」などと言われたら、それは社内の極秘テストかもしれないし、もしくは社内ルールの欠陥だろう。このご時世に、管理者権限を保有する部門がわざわざ個人の機微情報の記入を求めるなど笑止千万だ。もし担当部門が特別な理由も無しにそのような行動にでたら、「その笑顔には、だまされませんよ！」と押し返してあげよう。