攻撃者自身もはまる？ 「ソーシャルエンジニアリング」を軽視してはいけない：「Web 3.0」を狙う“古い手口”【後編】

「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。

[Shaun Nichols，TechTarget]

　「Web 3.0」（「Web3」とも）の構成技術の普及とともに、こうした技術を狙った攻撃活動が活発になりつつある。Web 3.0は、ブロックチェーン技術を使った分散型の次世代WWW（ワールドワイドウェブ、以下Web）だ。専門家はWeb 3.0でも攻撃者の手口はこれまでと変わらず、特に人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」について注意を呼び掛けている。

　暗号資産（仮想通貨）を盗む手口に、攻撃者が「シードフレーズ」でユーザーのウォレット（暗号資産の仮想財布）にアクセスし、暗号資産を別のウォレットに移転させる手口がある。シードフレーズは、暗号鍵の生成に使うランダムな文字列だ。実はこの手口を使った攻撃者が、他の攻撃者から狙われる場合がある。

攻撃者でもはまる　「ソーシャルエンジニアリング」の軽視できない危険性

併せて読みたいお薦め記事

連載：「Web 3.0」を狙う“古い手口”

• 前編：NFTや仮想通過を盗む「ソーシャルエンジニアリング」はWeb 3.0でも“最恐”か

組織はあらゆる「脅威」に立ち向かわなければならない

• 「APP詐欺」の恐ろしさとは？　銀行を脅かす新たな脅威
• 「脅威モデリング」はなぜ必要か？　侵入テストだけでは不十分な理由

　Cisco Systemsのセキュリティ研究機関であるCisco Talosは、シードフレーズを悪用して暗号資産をだまし取った攻撃の失敗例を報告している。攻撃者が暗号資産の移転先に指定したウォレットに、同様の手口で不正アクセスがあって仮想通貨が流出したという。

　攻撃者自身さえも「標的」になり得ることは「ソーシャルエンジニアリングがいかに危険な手段であるかを示している」と、Cisco Talosの研究者であるジェイソン・シュルツ氏は強調する。Cisco Talosの別の研究者、ニック・ビアシーニ氏は「Web 3.0の特徴である『分散型』から考えれば、アカウント保有者をだまして認証情報を提供させることが、資金を盗む上で効率的な方法になる」と言う。

　ビアシーニ氏によると、ソーシャルエンジニアリングを駆使した攻撃は今後も拡大し、大規模な被害を引き起こす可能性がある。同時に「人間の脆弱（ぜいじゃく）性」にとどまらず、Web 3.0技術の脆弱性を悪用した攻撃に対する注意も必要だ。「攻撃者が技術の脆弱性を発見すれば、すぐに攻撃に悪用する」と同氏はみる。

　そうした中、Web 3.0を取り入れている企業は防御策を強化しなければならない。具体的には、不審なメールを注意深く扱うことに加えて、リンクや添付ファイルを不用意に開かないことが重要だ。特定のメールやWebサイトが安全かどうかを判断しにくい場合は、メールか電話でプロバイダーに直接連絡して確認することがベストだとCisco Talosは説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。