攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない「Web 3.0」を狙う“古い手口”【後編】

「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。

2022年03月30日 05時00分 公開
[Shaun NicholsTechTarget]

 「Web 3.0」(「Web3」とも)の構成技術の普及とともに、こうした技術を狙った攻撃活動が活発になりつつある。Web 3.0は、ブロックチェーン技術を使った分散型の次世代WWW(ワールドワイドウェブ、以下Web)だ。専門家はWeb 3.0でも攻撃者の手口はこれまでと変わらず、特に人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」について注意を呼び掛けている。

 暗号資産(仮想通貨)を盗む手口に、攻撃者が「シードフレーズ」でユーザーのウォレット(暗号資産の仮想財布)にアクセスし、暗号資産を別のウォレットに移転させる手口がある。シードフレーズは、暗号鍵の生成に使うランダムな文字列だ。実はこの手口を使った攻撃者が、他の攻撃者から狙われる場合がある。

攻撃者でもはまる 「ソーシャルエンジニアリング」の軽視できない危険性

 Cisco Systemsのセキュリティ研究機関であるCisco Talosは、シードフレーズを悪用して暗号資産をだまし取った攻撃の失敗例を報告している。攻撃者が暗号資産の移転先に指定したウォレットに、同様の手口で不正アクセスがあって仮想通貨が流出したという。

 攻撃者自身さえも「標的」になり得ることは「ソーシャルエンジニアリングがいかに危険な手段であるかを示している」と、Cisco Talosの研究者であるジェイソン・シュルツ氏は強調する。Cisco Talosの別の研究者、ニック・ビアシーニ氏は「Web 3.0の特徴である『分散型』から考えれば、アカウント保有者をだまして認証情報を提供させることが、資金を盗む上で効率的な方法になる」と言う。

 ビアシーニ氏によると、ソーシャルエンジニアリングを駆使した攻撃は今後も拡大し、大規模な被害を引き起こす可能性がある。同時に「人間の脆弱(ぜいじゃく)性」にとどまらず、Web 3.0技術の脆弱性を悪用した攻撃に対する注意も必要だ。「攻撃者が技術の脆弱性を発見すれば、すぐに攻撃に悪用する」と同氏はみる。

 そうした中、Web 3.0を取り入れている企業は防御策を強化しなければならない。具体的には、不審なメールを注意深く扱うことに加えて、リンクや添付ファイルを不用意に開かないことが重要だ。特定のメールやWebサイトが安全かどうかを判断しにくい場合は、メールか電話でプロバイダーに直接連絡して確認することがベストだとCisco Talosは説明する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...