確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは
また、4月の入社時期になれば、セキュリティリテラシーの低い新入社員をターゲットとした攻撃もある。
SNSで新入社員が「今日はXXX社の入社式」などと書きこめば攻撃者に把握されてしまう。また、社屋で入社式を行った際、攻撃者は社屋から入社式を終えた新入社員を尾行して自宅を把握したり、当該新入社員に対し、新入社員によくある他社との名刺交換を促すキャンペーン(=ノルマ)を装い、名刺交換をすることで個人情報は容易に入手できる。そして、ターゲット企業のセキュリティルールを理解しきれていない新入社員に対し、上司や人事部門を装い、騙すのだ。
攻撃者は手段を選ばない
ソーシャル・エンジニアリングは何もSNSやメールコミュニケーションなどのバーチャルの世界だけではない。攻撃者は、マルウェアを仕込んだUSBをターゲット企業の使用端末に差し込むことも可能だ。そのために、出入り業者を買収することもある。
有名な例では、ロシア人ハッカーが、数年前に知り合った自動車メーカー・テスラの従業員にメッセンジャーアプリ「ワッツアップ」経由で接触し、「従業員がメールに添付されたマルウェアを開くか、ウイルスに感染したUSBメモリーをテスラ社のPCに差し込むことで社内ネットワークにウイルスを仕込む」対価として現金かビットコインで100万ドルの報酬を支払うと持ち掛けたケースがある(本件は従業員がFBIに通報し未遂で終わった)。
また、攻撃者は実際に社屋に侵入することもある。セキュリティの甘い会社であれば、プリンターの点検などと称して、ネームカードを下げれば執務室への侵入は難しくない。実際、とある官公庁に対し、上記手口で侵入できた疑似攻撃例もある。
その他、簡単な作りのセキュリティカードをカバンにしまったターゲットに満員電車などで近づき、攻撃者は非接触型のカードリーダーをカバンに忍ばせ、ターゲットのカバンと密着させることでターゲットのカバン内にあるセキュリティカードの情報を読み込み、後にセキュリティカードを複製し、堂々と社屋に入社することも可能だ。
無料会員登録はこちら
ログインはこちら