ソーシャルエンジアリングが人間に有効な理由は人類の特性にある
「サピエンス全史」で有名なユヴァル・ノア・ハラリさんは著書の中で人間は「虚構」を信じることができることで圧倒的な個体を率いることができ他の種族を圧倒したとあります。
人間が「国家」「宗教」「お金」といったことを受け入れられる特性があるからこそ人類は発展してくることができました。「IT」も例外ではありません。
しかし、人間の特性である「嘘や噂をそうかもしれないと判断に取り込んでしまう特性」はソーシャルエンジアリングが悪用される主因です。
言葉や伝文、間接的に伝達する情報を信じないのであれば、ソーシャルエンジアリング効果を発揮することは困難なことになるでしょう。
次に我々の多くは自分自身の活動は自分の意識下にあると考えています。いや正確にはそうであって欲しいと考えていますが、意識下の行動は1〜2割と言われています。実際、目覚ましを消そうと「手を伸ばしている」つもりでも足でバランスを取ったり、背中で支えたりと無意識で制御されています。
そして、人間の脳は入ってきた情報の内、0.1%しか大脳新皮質で処理していません。人混みでの会話をマイクで拾うと雑音が多過ぎて聞き取れないが、その場では普通に会話ができていたのは「カクテルパーティー効果」に代表されるような情報の取捨選択が行われていたからです。
このような制御が行われていながら脳は体重の3%程度でありながらの20%以上のエネルギーを消費しています飽食の今でこそ、もっと消費していいのにと余裕がありますが過剰な食糧が手に入る国が増えてきたのは人類史においてここ100年以内程度であり、脳の莫大なエネルギー消費は可能な限り避けなければならないことになります。サボらなければ生存に関わる可能性があるのです。
つまり、人間の特性として脳のエネルギー消費を避けるため無数にある答えの内最も負担の少ない単純な繋がりを正解と思う傾向があるのです。このことを悪用に転ずるとソーシャルエンジアリングが有用なわけがわかると思います。
組み合わせると「そんな簡単なこと」に引っかかってしまう
人間は「選択的注意(selective attention)」、人間は1つのことに注意を向けると、他の刺激に対する注意力が低下するという特性があります。これと先の人間の特性を組み合わせることを考えます。
例えばオレオレ詐欺の場合、痴漢被害の娘の父親なる者と駅員がオレオレ言っている人物以外に電話に出てくるケースがあるそうです。痴漢被害の娘の父親役は冷静さを欠かす役割、駅員は事前に寸借詐欺などから得た情報から外見的な確かな情報を伝える役割、そして本人役は窮状は訴えますがまともに会話できない状態です。(もちろん演技ですが)突然の状況と相手が3人に分割されること、さらには絶妙なタイミングで確かに自分の子供と言える身体的特徴を伝えられると冷静に考えれば完全に不足した情報でも納得してしまい。痴漢の被害の示談金という名目で振り込ませてしまうということが起きてしまいます。
ソーシャルエンジアリングは人間の心理的な特性を悪用した攻撃です。己のこと知らずば100戦100敗は必須でしょう。
ソーシャルエンジニアリングの手法
ソーシャルエンジニアリングの手法はゴミ箱漁りなどコンピュータの誕生以前から存在するため、時代によって呼び方も内容も変化しているのが特徴です。しかし、日本ではSQLインジェクションやXSS、CSRFなどは通じるのにソーシャルエンジニアリングに関して知っている人は壊滅的に少ない印象です。
Shoulder surfing/Shoulder Hacking 盗み見
元々は肩越しに後ろから入力内容を覗き見する行為ですが、現在はATMのFFミラーや入力内容が黒丸になって見ることが困難です。しかし、スマートフォンに入力の際はパスワードは一瞬見える形式が多いので録画アプリをバックグラウンドで走らせて入手することが可能です。さらにカメラが高性能になったためWebカメラに写り込む背向かいの席の様子や写真に写っている人の瞳の中の様子から場所などが特定されるなどが可能になったため、盗み見する攻撃手法は多様化しています。
Shoulder surfing/Shoulder Hacking 盗み見の対策
ATMでは後方確認鏡が覗き見防止と抑止のために設置されています。
エレベータの乗り込み時の鏡で有名なコミー株式会社さんのFFミラー(Fantastic Flat Mirror)が有名です。
パソコンでは画面ロック、のぞき見防止フィルターなどが対策になります。
画面ロックのショートカットはwindowsの場合、「windowsキー」+「L」、Macの場合は「command」+「control」+「Q」です。
共連れ Tailgating/PiggyBack
日本のCMで女の子がICゲートの前で困っていると男性が開けてあげるシーンがありましたが、その女の子が凄腕のハッカーだったらその会社は甚大な損害を被る可能性があります。権威ある一行にしれっと混じって歩いて行くのも認証回避する方法でもあります。偉い人がくるから、お昼休みに混雑するからと警備員の抑止が低減することを狙って突破する方法もこれにあたります。
共連れ Tailgating/PiggyBackの対策
・アンチパスバック
入室記録のない人間の退出を制限する入退出管理設備(ID認証)では標準で搭載されている機能です。ただし、災害時など緊急時は退出できなくならないように施錠解除など代替退出手段を備えることが要件となります。
・セキュリティゲート
フラップ式の方がよく見かけますが、回転ドア形式のロータリーゲート方式もあり、こちらの方が友連れの抑止効果が高いです。
・監視カメラ
どちらかというと抑止・追跡が目的にはなりますが友連れ対策になります。
ホエイリング Wailing
標的はCXOクラスの経営陣のため、大きい獲物「クジラ」からネーミングされています。スピアフィッシングメールに近いのですが召喚状や税務署からのメールなど意思決定者が独断し得る内容で、Facebook、LinkedIn、Twitterからスケジュールなどを推定し独断で引っ掛かり得るタイミングで送信することで攻撃の成功確立をあげる総合的な手法です。
スケアウェア Scareware
マルウェアをダウンロードしたかのように思わせて、脅迫し金銭を要求する手法です。
プリテキスティング Pretexing
身元や身分をなりすまして特定の情報を入手する手法です。
お金がないふりをして電話をかり、その電話から電話していることを利用して本人になりすますなどもこの手法にあたります。
これは寸借詐欺と言って日本でもリスト作成して稼ぐ業者に悪用されています。
わなの餌 Baiting
音楽や映画のダウンロードコンテンツの引き渡しを約束して、偽のログインページ等からログイン情報を盗み取る手法です。
落としたUSBの中身を拾わせてキーロガーやマルウェアを入れさせる方法にも悪用されます。
ゴミ箱漁り Dumpster diving/Scavenging/Trashing
ゴミ箱漁りと侮るなかれトップシークレット(国家重要機密)がゴミ箱に捨てられていたこともあるのです。
うちはシュレッダーかけているから大丈夫と言っている人がいますが、ストレートカットの断片からの復元はイラン革命時の大使館から映画を作ると脱出する「アルゴ:(ARGO)」という映画の中でも人手さえかければ簡単に復元されていました。
ゴミ箱漁り Dumpster diving/Scavenging/Trashingの対策
・シュレッダー
シュレッダーは意外と根性で戻すことができます。ダンプスターダイビングのCTFでは縦横シュレッダーでも参加者全員復元できてました。
ただし、自らの手で処分できる点はメリットです。
・溶解分解
戻すことはできませんが、業者へのなりすましのリスクはあります。
焼却のように二酸化炭素を排出することがないというメリットもあります。
フィッシング Phishing/Spear phishing
偽のメールやサイトで悪意あるコンテンツに誘導し情報の盗取などの目的を達する手法です。メールの埋め込みURLぐらいしか浮かばない人が多いと思いますが、この攻撃の種類は非常に多くあります。
DECEPTIVE PHISHING、SPEAR PHISHING、CEO FRAUD、VISHING、SMISHING、PHARMINGと6種類を上げましたがご存知でしたでしょうか。
DECEPTIVE PHISHING
公式なサービスになりすまして、「暗証番号を変更してください」「ただちに内容を確認してください」とくるタイプです。焦らせてメール経由で行かすことでフィッシングを成立させます。
フィッシング SPEAR PHISHING
ごく特定の受信者と送信者の関係でしかやりとりされない情報を盛り込むことで効果的に騙しフィッシングを成立させます。
CEO詐欺 CEO FRAUD
CEO(経営層)のアカウントをハッキングしたら、CEOの権力を以て重要情報を容易に聞き出すタイプのフィッシングです。職権分掌が重要となります。
ビッシング VISHING
VoIP(Voice over Internet Protocol)経由のフィッシングです。
スミッシング SMISHING
SMS経由のフィッシングです。佐川急便がシグニチャ名になっています。
QRishing
不正なQRコードを貼り、ユーザーを悪意のあるWebサイトへと誘うフィッシングです。
ファーミング PHARMING
DNSキャッシュポイズニングを利用してフィッシングを成立させます。
餌付け Quid pro quo
直訳の「何かのための何か」というラテン語が示すように、報酬のある調査目的だと言って情報を引き出したり、
米国社会保障局(SSA)になりすまし「あなたは盗難被害にあった可能性があります。恐れ入りますが本人確認のためお名前フルネームと住所、生年月日、社会保証番号を回答してください」などと重要情報を聞き出すなどと言った手法も用いられているといいます。
以上です。参考になれば幸いです。