【実践・情報セキュリティ講座】研修で忘れてない?! ソーシャルエンジニアリングのこと

2016/03/24
ソーシャルエンジニアリングのイメージ画像

新入社員向け研修がはじまる時期が到来しました。電話のとり方、名刺の渡し方といったビジネスマナーはもちろんのこと、昨今はセキュリティに関する研修が必須とされ、よくおこなわれています。IT化がすすみ個人情報、営業機密(トレードシークレット)、マイナンバーなど漏えいすると大変な情報をたくさん扱うようになりましたが、USBメモリーなどにコピーするだけでそれらの重要な情報を容易に持ち出せることがセキュリティ研修必須化の背景にあります。そんな中、セキュリティ研修で漏れているのがソーシャルエンジニアリングに対する注意です。

ソーシャルエンジニアリングとはなにか

ソーシャルエンジアリングとは例えばパスワードを入力しているところを横から盗み見するような行動です。システム管理者と話をしながら、いろいろなことを聞き出す行為や、盗み聞き、盗み見など社会的(ソーシャル)な手段によって重要な情報を入手することをいいます。入手したパスワードなどを使ってシステムに侵入し、情報を盗みます。

情報を盗み出すためにウイルス感染させようと思ってもセキュリティ対策がしっかりしている企業にネットワーク経由でウイルスメールを送っても効果はありません。ネットワークなどの情報通信技術を使ってもダメなので、人間の心理的な隙や行動のミスにつけ込んで情報を盗み出します。これがソーシャルエンジニアリングです。

オフィスにUSBメモリーが落ちていたらあなたはどうしますか?

例えばオフィスの机の間にUSBメモリーが落ちていたら、あなたはどう行動しますか? “誰がUSBメモリーを落としたんだろう。しょうがないなあ。”とUSBメモリーの中身を確認しようとしませんか。パソコンにUSBメモリーをつないだ時点でウイルスに感染してアウトです。実際には何も起きませんので当事者にはウイルス感染したことが分かりませんが、静かに社内ネットワークを通じて蔓延していきます。

最近はセキュリティがしっかりとしたオフィスビルもたくさんあり、IDカードを通さないと入退室できないオフィスが増えています。そんな場合も大丈夫。社員の駐車場にUSBメモリーを落しておけばオフィスに落としたのと同じことがおきます。

イランの核施設の機密もソーシャルエンジアリングで漏れた!

ソーシャルエンジアリングは古典的な方法ですが、万国に通じて、実に効果的です。イランが自国の核関連施設で高濃縮ウランの製造をおこなったため、各国が経済封鎖を実施しました。最近になってイラン大統領が変わったこともあり、ようやく核協議が最終合意に達し、経済封鎖解除の動きになっています。

2009年頃、アメリカとイスラエルがイランの核施設を破壊するために遠心分離機を止めるコマンドを出せるウイルスを開発しました。当然、イラン側も施設のネットワークがサイバー攻撃を受ける危険性が分かっているため、外部とのネットワークとは隔離していました。施設への入退室も簡単にできませんし、エンジニアたちはサイバー攻撃のセキュリティ教育を受けています。

 

どうやって閉ざされたネットワークにウイルス感染させるかが課題になりましたが、この時に思いついたのが“自分が持っているUSBメモリーについてあまり考えない人間はわりといるものだ”という真理です。さすがに国家機密なので詳しいことは分かりませんが、どうもソーシャルエンジニアリングの手法が使われたようです。

 

USBメモリーを通じて、技術者の持っているノートパソコンに感染させ、システム管理者にはすべてが正常に稼動しているように見せかけながら、そのすきにウイルスを蔓延させ、核施設の一部を機能停止させました。一説には8,400台の遠心分離器が止まったと言われています。


【教訓】 拾ったUSBメモリーはノートパソコンにささない


皆さん、出所のわからないツールなどの取り扱いには、十分注意してください!

水谷 哲也(みずたに・てつや)

1960年、三重県・津市生まれ。京都産業大学理学部卒。ITベンダーでシステムエンジニア、プロジェクトマネージャーを担当。その後、専門学校、大学で情報処理教育に従事。2002年に水谷IT支援事務所を設立し、所長に就任。三重県産業支援センター、大阪府よろず支援拠点、ひょうご産業活性化センターなどで経営、IT、創業を中心に累計4100件以上の経営相談を行う。

著書に「インターネット情報収集術」(秀和システム)、電子書籍「誰も教えてくれなかった中小企業のメール活用術」(インプレスR&D)。現在、All
About
企業のIT活用」担当ガイドとして、IT活用にまつわる様々なガイド記事を発信中。中小企業診断士、ITコーディネータ・インストラクター、アプリケーション・エンジニア、販売士1級&登録講師。

関連記事

ピックアップ記事

  1. 近年世界的に増えているというビジネスメール詐欺。2018年には日本語で書かれたビジネス詐欺メールが確…
  2. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  3. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. 政府は11月をテレワーク月間と定め、時間と場所を選ばない働き方を推進しています。中には完全リモートワ…
  1. 【情シス×ストレッチ】~第8回~疲れ目対策ストレッチ「Eyeレッチ②」

  2. PCNW「個人/クライアント認証の最新潮流~Windows10に搭載された新時代の認証基盤~」第一回ITトレンド勉強会開催@大阪(12/20)

  3. 【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺

  4. 迫るアップデート終了、備えは大丈夫か!? Java有償化問題

  5. 【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺

  6. 【情シスの赤本】メール誤送信と取るべき対策

  7. APIでつながる、新しいクラウドサービス(SaaS)の形

  8. PCNW【第一回ITトレンド勉強会】RPAに情シスはどう関わるべき?

  9. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  10. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る