ネットワークのセキュリティを簡単に破る攻撃手法の実際：ソーシャルハッキング

企業の情報は、単純な引っ掛けだけでいとも簡単に盗み出せてしまう。IT幹部になりすますのも容易なのだ。

≫ 2009年08月05日 07時30分公開

[Peter Wood，TechTarget]

　われわれプロの侵入テストチームは過去20年の大部分を通じ、組織内外からのセキュリティ診断を実施してきた。その倫理的ハッキングの経験から浮かび上がってきた幾つかの問題は、一見無関係に思えるが、隙を突いた攻撃から大部分の組織が情報資産を守れない原因になっていた。本稿では、ネットワークセキュリティ破りによく使われる攻撃の手段を幾つか紹介する。

　この記事で取り上げるのが、ハッキング技術や攻撃回避のための技術戦略ばかりではないことを覚えておいてほしい。ビジネスマンの多くはセキュリティについて考えることなく日々を過ごし、単純な引っ掛けだけでいとも簡単に情報を盗み出せてしまうことなどまったく知らずにいる。われわれは倫理的ハッカーとして、特定の組織に攻撃を仕掛ける創造的な方法を見つけるという課題を課せられるが、糸口となるのは大抵、警戒心の薄い従業員だ。一例として、われわれの実体験を紹介しよう。

　プリペイド式携帯電話を思い浮かべてほしい。顧客、つまり標的の企業にはその電話番号についての予備知識がないため匿名性が保証され、潜在的攻撃者が電話を通じて企業の情報を入手できるかどうかを実地に試す手段が確保できる。電話を買ったら、どこからでも入手できる標的企業の代表番号に電話をかけ、関心のあるITプロジェクトを率いるリーダーの名前と電子メールアドレスを尋ねる。例えば給与決済システムの担当者を尋ねるとしよう。われわれの経験では、ヘッドハンティングですかと尋ねられるかどうかを別とすれば（あまりいい身元審査方法とはいえない）、ノーチェックで済む。交換手は喜んで、この情報を電話で提供してくれる。

　次に、その会社のWebサイトを念入りに調べ、そのサイトと同じスタイルで偽のWebページを作成する。画像とロゴも、本物につながるイメージパスをコードに組み込んで同じものを使う。この偽ページは表面上、会社のセキュリティポリシーをスタッフがどの程度知っているかに関するアンケートページに見せかけ、パスワードをどうやって選んでいるか、それを書き留めているかといった単純な質問を並べておく。

　それから、その会社の情報セキュリティ管理者の電子メールのソースアドレス（※）を使い、標的とするプロジェクトマネジャーにメールを送る。このメールでは、受け取った相手に、例の偽ページへのリンクを使って簡単なアンケートに答えてほしいと促す。多くはあからさまな質問に不審を抱くものの、Webサイトは確かに本物らしく、依頼は自分の会社のセキュリティ管理者から来ているように見える。

※編注　メールの送信元アドレスのこと。これを偽装することで第三者が本人になりすますことができる。

　さらに、リンクをクリックすると、最初にユーザーネームとパスワード入力による本人確認を求められる。もちろんこれこそが引っ掛けであり、残りの質問は攻撃者には関係ない（多分関心はあるかもしれないが）。狙いはネットワークへのログイン情報のみだからだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}