2022年03月30日 05時00分 公開
特集/連載

攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない「Web 3.0」を狙う“古い手口”【後編】

「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。

[Shaun Nichols,TechTarget]

 「Web 3.0」(「Web3」とも)の構成技術の普及とともに、こうした技術を狙った攻撃活動が活発になりつつある。Web 3.0は、ブロックチェーン技術を使った分散型の次世代WWW(ワールドワイドウェブ、以下Web)だ。専門家はWeb 3.0でも攻撃者の手口はこれまでと変わらず、特に人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」について注意を呼び掛けている。

 暗号資産(仮想通貨)を盗む手口に、攻撃者が「シードフレーズ」でユーザーのウォレット(暗号資産の仮想財布)にアクセスし、暗号資産を別のウォレットに移転させる手口がある。シードフレーズは、暗号鍵の生成に使うランダムな文字列だ。実はこの手口を使った攻撃者が、他の攻撃者から狙われる場合がある。

攻撃者でもはまる 「ソーシャルエンジニアリング」の軽視できない危険性

 Cisco Systemsのセキュリティ研究機関であるCisco Talosは、シードフレーズを悪用して暗号資産をだまし取った攻撃の失敗例を報告している。攻撃者が暗号資産の移転先に指定したウォレットに、同様の手口で不正アクセスがあって仮想通貨が流出したという。

 攻撃者自身さえも「標的」になり得ることは「ソーシャルエンジニアリングがいかに危険な手段であるかを示している」と、Cisco Talosの研究者であるジェイソン・シュルツ氏は強調する。Cisco Talosの別の研究者、ニック・ビアシーニ氏は「Web 3.0の特徴である『分散型』から考えれば、アカウント保有者をだまして認証情報を提供させることが、資金を盗む上で効率的な方法になる」と言う。

 ビアシーニ氏によると、ソーシャルエンジニアリングを駆使した攻撃は今後も拡大し、大規模な被害を引き起こす可能性がある。同時に「人間の脆弱(ぜいじゃく)性」にとどまらず、Web 3.0技術の脆弱性を悪用した攻撃に対する注意も必要だ。「攻撃者が技術の脆弱性を発見すれば、すぐに攻撃に悪用する」と同氏はみる。

 そうした中、Web 3.0を取り入れている企業は防御策を強化しなければならない。具体的には、不審なメールを注意深く扱うことに加えて、リンクや添付ファイルを不用意に開かないことが重要だ。特定のメールやWebサイトが安全かどうかを判断しにくい場合は、メールか電話でプロバイダーに直接連絡して確認することがベストだとCisco Talosは説明する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news076.jpg

メディア化する企業が勝つ時代の動画マーケティングはどうあるべきか
見込み客の興味についての理解を深化させ、イベントの価値を最大化し、人々の注目を獲得...

news114.jpg

B2B企業のSEO記事コンテンツ制作、「外注に失敗」の経験が8割超――EXIDEA調査
SEOのノウハウはもちろん重要ですが、記事制作を外注するに当たっては、自社や業界のこと...

news027.jpg

さようならiPod Appleへの20年の貢献度を振り返る
ポータブルミュージック40年の歴史とともに、その偉業を振り返ってみましょう。