フォーチュン500企業の中には、Webブラウザのアップグレードが必要なところもあります。ついでに、ソーシャルエンジニアリングに関する社内研修を少し実施するのも悪くないかもしれません。
ソーシャルエンジニアリングハッカー(従業員を騙して、すべきでないことをさせたり言わせたりする人々)は、金曜日のデフコンでのコンテストでフォーチュン500社に全力を尽くし、適切な嘘さえつけば、人々に話をさせることがいかに簡単であるかを実証した。
今週、ラスベガスで Defcon と Black Hat セキュリティ カンファレンスが開催されます。
参加者は、Microsoft、Cisco Systems、Apple、Shell などの大企業の IT スタッフから、使用しているブラウザーとそのバージョン番号 (金曜日に最初に電話がかかった 2 社は IE6 を使用していました)、PDF ドキュメントを開くために使用しているソフトウェア、オペレーティング システムとサービス パックの番号、メール クライアント、使用しているウイルス対策ソフトウェア、さらにはローカル ワイヤレス ネットワークの名前など、コンピュータ攻撃に使用できるあらゆる種類の情報を入手しました。
最初の2人の出場者はそれを簡単に見せました。
金曜朝一番に登場したのは、オーストラリア出身のセキュリティコンサルタント、ウェイン氏(姓は伏せた)だった。彼の任務は、大手米国企業からデータを入手することだった。(IDGニュースサービスは、セキュリティリスクの可能性を考慮し、どの企業がどの攻撃を受けたかについては報道を見送っている。)
防音ブースの後ろで聴衆の前に座り、ITコールセンターに繋がったウェインは、レドイという名の従業員に話をさせた。締め切りに追われながら監査業務にあたるKPMGのコンサルタントを装い、ウェインはレドイから詳細を聞き出した。
ウェインは従業員番号の提示を求められても無視し、上司に追われていること、そしてこの監査をどうしても終わらせなければならないことなどをすぐに話し始めた。彼は、新しい雇用主のもとに勤めてまだ1ヶ月しか経っていない従業員に、オーストラリア人らしい魅力を振りまく。数分のうちに、彼はウェインが望むほぼあらゆる情報を提供してくれるようになったようだった。ある時、ウェインが開設した偽のKMPGのウェブサイトにアクセスしたこともあった。
彼は従業員にビールをおごると約束して電話を切った。
「どんなビールが好きですか?」
「今はブルームーンに夢中です。」
電話後のインタビューで、ウェインは自分の幸運が信じられないと口を開いた。「彼らはかなり大きな会社だと思っていたし、社内でセキュリティ監査を何度も実施していたことは知っていたんです。」
コンテスト主催者は後に、彼の作品がその日最高の出来だったと述べた。しかし、標的となった全員が情報を提供してしまった。コンテストの創設者の一人、クリス・ハドナギー氏は、被害者たちはパスワードなどの機密情報を求められれば漏らしていただろうと考えている。「彼らは求められれば、家族の写真をあげていたでしょう」と彼は語った。
コンテストのルールでは、機密情報の質問や、政府機関や金融機関などの特定の組織をターゲットにすることは禁止されていました。それでも、コンテストは開始前から人々の神経を逆なでしていました。先月、ハドナギー氏はFBIからコンテストについて問い合わせの電話を受けました。
セキュリティコンサルタントとして15年間、この種のソーシャルエンジニアリングに携わってきたウェインは、コンテスト前に約20時間かけて下調べをしたという。ITコールセンターへの連絡方法や、連絡が取れたらどんな名前を口にすればいいのかを熟知していたという。
彼は、新入社員を採用できたのは幸運だったと認めた。しかし、新入社員こそが最高の情報源となる。「会社の偉い人を採用しても、何も得られません」と彼は言った。「失うものが大きいのですから」
2人目の出場者、シェーン・マクドゥーガルはコールセンターではなく、別の有名企業のセキュリティ担当者をターゲットにしました。彼はCSOマガジンのアンケート調査を実施していると主張し、より堅苦しいアプローチを取りました。
彼が連絡を取った最初の人物は、彼が何をしているのか分かっており、いくつかの質問に答えることを拒否した後、「これらは私が答えたくない特定の質問です」と言い、きっぱりと、しかし丁寧にマクドゥーガル氏の話を遮った。
参加者にはわずか25分の作業時間が与えられました。時間が刻々と迫る中、マクドゥーガル氏は幸運にも次の標的に選ばれました。セキュリティエンジニアリング部門の契約社員で、入社2ヶ月の男性です。仕事の満足度やカフェテリアの食事の質など、簡単な質問をいくつか受けた後、マクドゥーガル氏は具体的なデータを提示しました。
提供されたマーク: オペレーティング システム: Windows XP、サービス パック 3、ウイルス対策: McAfee VirusScan 8.7、電子メール: Outlook 2003、サービス パック 3、ブラウザー: IE 6。
マクドゥーガル氏はその後、ウェブサイトにアクセスして25ドルのアンケートクーポンを受け取るよう指示し、従業員はそれに従った。
コンテストは日曜日までデフコンで開催されます。優勝者にはiPadが贈られます。
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
