企業を素早くハッキングしたいなら、ソーシャルエンジニアリング(SE)の手法が必ず効果を発揮します。しかも、多くの場合、初回から成功します。私が言っているのは、直接対面で、一対一で、生身の人間同士が行うソーシャルエンジニアリングの手法です。人間の心の中にある情報を守ることは、デジタルデータの保護に比べれば、途方もなく膨大で壮大な仕事です。だからこそ、これが企業のITセキュリティにおける最大の弱点となっているのも当然と言えるでしょう。
セキュリティ業界は、この困難を乗り越えるために、常にテクノロジーウィジェットを作成しようとしています。
人的問題ですが、今のところ真の解決策は見つかっていません。誰かにアクセスを許可すれば、たとえアクセスするためにどれだけのハードルを越えさせようとも、その人は人的リスクとなり、ソーシャルエンジニアリング攻撃の標的となります。
ソーシャルエンジニアリングの手口トップ10をリストアップしました。これらの手口は様々な情報源から集めています。私自身の経験から得たものもあれば、顧客から得たもの、そしてセキュリティコンサルタントとして日々の業務でソーシャルエンジニアリング攻撃を駆使している仲間から得たものもあります。あなたの組織では、これらの手口に対して脆弱な状況に陥っていませんか?ぜひ電話をかけて、いくつか試してみてください(もちろん、許可されている場合)。どれも効果があったら、きっと驚くことはないでしょう。
1) 馴れ合いの悪用 –これは最も効果的な方法の一つであり、ソーシャルエンジニアリングの要となるものです。簡単に言えば、自分がそこにいるのが誰にとってもごく普通のことのように見えるようにすることです。悪用したい相手に馴れ合いをすることで、相手の警戒心を解くことができます。人は、知っている人、話したことのある人、あるいは少なくともよく会ったことがある人に対しては、違った反応を示します。全くの見知らぬ人よりも、馴れ合いの人からの依頼に応じ、実行することの方がはるかに安心感があります。標的の目に馴れ合いの人はごく普通の存在であり、「あの人は誰?なぜここにいるの?」と警戒心を抱くことはありません。馴れ合いになったら、攻撃を仕掛けます。馴れ合いの人の後ろを安全なエリアに追いかけると、多くの場合、効果があります。
2) 敵対的な状況を作り出す –人は、自分以外の何か、あるいは誰かに対して怒ったり、動揺したり、腹を立てているように見える人から距離を置きます。例えば、電話で誰かと白熱した会話をしているふりをすれば、周りの人は間違いなくあなたに気づきますが、同時にあなたを避けようともします。敵対的な状況を作り出す方法はたくさんありますが、標的と自分との間に敵対的な状況を作り出してはいけません。これは滅多にうまくいきません。敵対的な状況を作り出すのは、電話、共犯者、あるいは誰かと激しい口論をしたかのようにぶつぶつ独り言を言っている自分との間だけにしましょう。
立ち止まってあなたの存在を尋ねそうな人がいる場所を通過しなければならない状況に陥った場合、このテクニックが役立ちます。あなたが怒っていると、人々が立ち止まってあなたに尋ねてくる可能性はかなり低くなります。実際、あなたが怒っているときも、人々はあなたの要求に従う可能性がはるかに高くなります。人々は怒っている人を追い払いたいだけなので、この方法は人々にドアを開けてもらったり、物の場所に関する情報を尋ねたりするのに効果的です。実際の例として、私の友人が遊園地にお酒をこっそり持ち込もうとしたときのことが挙げられます。遊園地には、バッグをチェックする警備所と金属を探知する棒が設置されています。友人は、近づく前に妻と激しい口論を始め、警備員はチェックも棒を使ったりもせずに、検問所を通り過ぎたのです。
3) 情報収集と活用 –つまるところ、ソーシャル エンジニアとして成功する鍵は情報収集です。標的に関する情報が多ければ多いほど、相手から望むものを引き出せる可能性が高まります。情報収集に適した場所は次のとおりです。 a. 駐車場 – 施錠されていない (または簡単に解錠できる) 車には、セキュリティ バッジ、制服、書類、機密情報、スマートフォン、財布など、さまざまなものが隠されている可能性があります。 b. LinkedIn、Google、Facebook、MySpace などのオンライン サイト c. 相手の仕事場にあるもの (ポスター、写真、本など) d. 相手の友人や同僚に尋ねる。別のオフィスや支店のマネージャーを装う。 e. 相手の自宅や行きつけの酒場まで尾行する。相手の行動パターン、興味、よく行く場所を把握する。これらはすべて、標的との個人的なつながりを築くのに役立つ有益なデータ ポイントです。 f. ゴミ箱漁り確かに彼らのゴミをあさるのは不快ですが、そこに入っている宝石は貴重なものです。
4) そこに就職する –報酬に見合う価値があるなら、ターゲット企業に就職し、できる限りの情報を集めましょう。中小企業の多くは、新規採用時に簡単な身元調査さえ行いません。大企業の多くは行いますが、通常はそれほど徹底的ではありません。人事部や採用担当者は、悪意のある人物を採用しようとしている兆候を見抜くための訓練を受けていることはほとんどありません。一度社内に入り込めば、たとえ下級職員であっても、はるかに信頼されるようになります。同僚として信頼されていると想定されるため、同僚へのソーシャルエンジニアリングは大抵簡単です。
5) ボディランゲージの読み取り –経験豊富なSEは、ターゲットのボディランゲージを読み取り、それに応じた対応をします。熟練SEであるクリス・ニッカーソン氏にとって、効果的に使用されるボディランゲージは、人と人を結ぶ最も強力な繋がりの一つです。相手が呼吸するのに合わせて呼吸し、適切なタイミングで微笑みかけ、相手の感情を察知してそれに応え、親しみやすく丁寧でありながらやり過ぎない態度を取り、相手が緊張しているようであればリラックスさせ、相手がリラックスしているようであればそれを利用するなど、様々な工夫が求められます。
ボディランゲージをうまく読み取れば、企業で成功への切符を手にできるかもしれません。相手はあなたを助けたいと思い、そうすることで良い気分になり、親切な行為だと感じるようになります。そして、彼らはあなたを助けたいと思うだけでなく、後になって「ああ、そういえば、今日はなぜあの人をデータセンターに入れてしまったんだろう?」と後悔することもなくなるでしょう。むしろ、彼らはあなたに示してくれた助けと善意を深く心に留めてくれるでしょう。
6) 6つ目のテクニックを追加しましょう。これは信じられないほど効果的で、おそらくこれまでのどのテクニックよりも効果的です。待ってください…セックスです!女性が男性を操って自分の思い通りにするのは、男の性の一部です。魅力的な女性が、色っぽく、セクシーな服を着て、淫らな態度を取り、あなたに興味があるふりをして、などなど、その操りに抵抗しようとする男性は、10分間息を止め続けるのと同じくらい簡単です。つまり、標的が男性で、SEが女性の場合、SEの成功率は飛躍的に高まります。まあ、みんな公平ですから、生物学的な特性を有利に利用してみてはいかがでしょうか。
では最後に、ソーシャルエンジニアリング攻撃からどのように防御するかという点です。人的リスク(ソーシャルエンジニアリングによる)に対する最善の防御策は、人材のトレーニングと意識向上プログラムです。確かに退屈に聞こえますし、セキュリティツールベルトにウィジェットを1つか2つ追加したい気持ちもあるでしょうが、どんなウィジェットでもこれほど効果的なものはありません。
皆さんのお気に入りのソーシャルエンジニアリングのテクニックや、SEに関する面白いエピソードがあればぜひ教えてください。コンテンツや洞察を提供し、私の頭の中に衝撃的なソーシャルエンジニアリングの戦記を詰め込んでくれた303の皆さんに、心から感謝します!
ここに掲載されている意見や情報は私の個人的な見解であり、雇用主の見解ではありません。私は雇用主の公式スポークスパーソンではありません。
