2009年08月05日 07時30分 UPDATE
特集/連載

ソーシャルハッキングネットワークのセキュリティを簡単に破る攻撃手法の実際

企業の情報は、単純な引っ掛けだけでいとも簡単に盗み出せてしまう。IT幹部になりすますのも容易なのだ。

[Peter Wood,TechTarget]

 われわれプロの侵入テストチームは過去20年の大部分を通じ、組織内外からのセキュリティ診断を実施してきた。その倫理的ハッキングの経験から浮かび上がってきた幾つかの問題は、一見無関係に思えるが、隙を突いた攻撃から大部分の組織が情報資産を守れない原因になっていた。本稿では、ネットワークセキュリティ破りによく使われる攻撃の手段を幾つか紹介する。

 この記事で取り上げるのが、ハッキング技術や攻撃回避のための技術戦略ばかりではないことを覚えておいてほしい。ビジネスマンの多くはセキュリティについて考えることなく日々を過ごし、単純な引っ掛けだけでいとも簡単に情報を盗み出せてしまうことなどまったく知らずにいる。われわれは倫理的ハッカーとして、特定の組織に攻撃を仕掛ける創造的な方法を見つけるという課題を課せられるが、糸口となるのは大抵、警戒心の薄い従業員だ。一例として、われわれの実体験を紹介しよう。

 プリペイド式携帯電話を思い浮かべてほしい。顧客、つまり標的の企業にはその電話番号についての予備知識がないため匿名性が保証され、潜在的攻撃者が電話を通じて企業の情報を入手できるかどうかを実地に試す手段が確保できる。電話を買ったら、どこからでも入手できる標的企業の代表番号に電話をかけ、関心のあるITプロジェクトを率いるリーダーの名前と電子メールアドレスを尋ねる。例えば給与決済システムの担当者を尋ねるとしよう。われわれの経験では、ヘッドハンティングですかと尋ねられるかどうかを別とすれば(あまりいい身元審査方法とはいえない)、ノーチェックで済む。交換手は喜んで、この情報を電話で提供してくれる。

 次に、その会社のWebサイトを念入りに調べ、そのサイトと同じスタイルで偽のWebページを作成する。画像とロゴも、本物につながるイメージパスをコードに組み込んで同じものを使う。この偽ページは表面上、会社のセキュリティポリシーをスタッフがどの程度知っているかに関するアンケートページに見せかけ、パスワードをどうやって選んでいるか、それを書き留めているかといった単純な質問を並べておく。

 それから、その会社の情報セキュリティ管理者の電子メールのソースアドレス(※)を使い、標的とするプロジェクトマネジャーにメールを送る。このメールでは、受け取った相手に、例の偽ページへのリンクを使って簡単なアンケートに答えてほしいと促す。多くはあからさまな質問に不審を抱くものの、Webサイトは確かに本物らしく、依頼は自分の会社のセキュリティ管理者から来ているように見える。

※編注 メールの送信元アドレスのこと。これを偽装することで第三者が本人になりすますことができる。

 さらに、リンクをクリックすると、最初にユーザーネームとパスワード入力による本人確認を求められる。もちろんこれこそが引っ掛けであり、残りの質問は攻撃者には関係ない(多分関心はあるかもしれないが)。狙いはネットワークへのログイン情報のみだからだ。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news099.jpg

「Pinterest」のマーケティング活用、実は意外と進んでいるってご存じでした?
おしゃれな人、アート志向の人が使う画像共有サービスとして知られる「Pinterest」。アー...

news095.jpg

NTTコム オンライン、「Oracle Eloqua」と連携したSMS送信サービスの提供開始
NTTコム オンラインは、マーケティングオートメーション「Oracle Eloqua」から直接SMSを...

news072.jpg

インテージ、「INTAGE connect」経由でモバイル空間統計データの提供を開始
インテージは、同社の「INTAGE connect」を通して、ドコモ・インサイトマーケティングが...