社員の「セキュリティホール」はどこが攻め込まれやすいか

IT・IT製品TOP > Key Conductors > 中本 琢也(エムオーテックス株式会社) > 社員の「セキュリティホール」はどこが攻め込まれやすいか
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

社員の「セキュリティホール」はどこが攻め込まれやすいか

エンドポイントセキュリティ 2017/08/09

人の脆弱(ぜいじゃく)性とは

 これまでの章では、攻撃者目線での犯罪市場の背景や現状、狙われているターゲットと最新の防御方法についてご紹介してきました。第三章では新たな、そして最大の脆弱性として認識されつつある“人”にフォーカスして紹介をしたいと思います。    

 攻撃者が圧倒的に優位な状態が続いていますが、各セキュリティベンダーや政府などの活動により、守る側の技術や体制も急速に発展しています。そして、攻撃者も同様に、強固になる守りに対して常に“一番弱く効率の良い攻撃”を研究し試し、検証を続けています。    

 これらのいたちごっこの中で、攻撃者は強固なセキュリティシステムの突破を狙うのではなく、最も弱く確実性の高い脆弱性をつき始めてきています。そしてその脆弱性というのが“人”なのです。    

 まずは、代表的な人を狙った攻撃を3つ紹介します。

代表的な攻撃1:SNS(ソーシャルネットワーク)を使った攻撃

 2016年6月に開催された、Black Hat 2016 USAでも、「最大の脆弱性は人である」というセッションが賑わいました。このセッションでは主にSNSを中心としたソーシャルデータを用いた攻撃に対して紹介されています。    

 まず、代表的な例としては本物そっくりのサイトやメールを作ることで、ターゲットをだまし、必要な情報を入手する方法です。これらの攻撃は、たくみにウソであることを隠し、疑問を挟むことすらない形で仕掛けられます。そして、そのための情報はSNSなどを通じてたくさん入手できるようになっています。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

不用意なSNSが攻撃の「ネタ」になることも

 例えば、ターゲットとする人が「東京マラソンに応募した! 今回こそ当選したい!」という投稿をしたとします。これを見た攻撃者はすぐに、偽のメールとサイトを用意し、その日のうちに「サイトから追加情報の入力を運営者が求めている」といった趣旨のメールを送ります。

 このとき、あなたはメールを疑うことができるでしょうか? また、疑うとしても「サイトにアクセスしてみてから……」などと考えて、アクセスしてしまうことにはならないでしょうか?実際、「フィッシングメールの開封率は30%」(下図)というベライゾンのレポートにある通り、多くの方がこの手法にまんまと引っ掛かってしまうのが現実なのです。

フィッシングメールの開封率は30%もある

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

フィッシングメールの開封率は30%もある
(Verizon “2016 Data Breach Investigations Report” http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf より)

代表的な攻撃2:キャンディードロップ、タダより高い物はない

 攻撃の1つにキャンディードロップという攻撃手法があります。この攻撃は名前の通り、アメを落とす代わりにUSBメモリなどを意図的に落としておくことで、拾った人を攻撃するという手法です。

 例えば落としたUSBの中には、ランサムウェアを仕込む営利目的、PCを破壊する愉快犯的な攻撃、原子炉等の特定の工業機関を狙い工場をストップさせる政治的攻撃等まで幅広い攻撃があります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

拾われたUSBの45%は、中のファイルを実行されている

 実例としては、2010年イスラエルと米国が実行したイランのウラン濃縮施設遠心分離機破壊事件が有名です。キヤノンITソリューションズが運営するポータルサイト「マルウェア情報局」で、その概要がまとめられています。    

 通常、こうした重要な施設の制御機器などを扱う環境はセキュリティ対策としてインターネットに接続するネットワークとは別になっています。外部からの攻撃は物理的に不可能と考えられてきたのですが、「拾ったUSB」は想定されていなかったのです。USB経由で産業制御システムが攻撃され、イランのウラン濃縮遠心分離機は物理的に破壊されました。これは、イランの核開発を遅らせることを目的とした破壊活動の一環で行われたとされています。事実、この攻撃の結果、イランの核開発を2年程度遅させることに成功したとされています。    

 「落としたUSBを拾って使う人なんているのか?」と思われるかもしれませんが、米Googleが大学と共同で行った実証実験*では、45%の人がUSBを使ったという結果もでており、人の行動は時に信じられない結果につながる、まさにタダより高いものはないということを表します。

* 2016年のセキュリティイベント「Black Hat USA」で発表されたもの。日本語での詳細なレポート記事はhttp://ascii.jpの記事を参照。

代表的な攻撃3:高度な標的型攻撃への利用

 最後に紹介する事例は、人を使った標的型攻撃・営利目的への活用です。攻撃者が企業の機密情報を盗みたい、ランサムウェアに大規模感染させたい……、と考えたとき最初の一歩は「その企業内のPCで攻撃に必要なプログラムを実行させること」です。    

 例えば、調査用のプログラムを実行することができれば、そのプログラムを使って利用者のPCの管理者権限の剥奪や共有フォルダの調査、メールの調査ができます。そうして、本格的な攻撃に必要になる情報をあらかじめ収集してしまうのです。    

 収集した情報を基に攻撃をするとして、実行させるプログラムがランサムウェアであれば、実行に成功した段階で暗号化が実行されますから、あとは利益(ランサムウェアの身代金)を得るのを待つばかりです。    

 しかし、対策が進む中でこの最初のプログラムの起動がどんどん困難になってきています。そこで、彼ら攻撃者は「防御が厳しく、外部から侵入してプログラムを実行することが難しいのであれば、正規の社員にプログラムを実行してもらえばよいではないか」と考えました。   

 彼らは一般に「Dark Web(ダークウェブ)」と呼ばれる、違法ドラッグや個人情報の売買、ランサムウェアの販売などが行われている特別なWebサイトで下記のような依頼を出します。

Dark Webに掲載されている「依頼」の例 

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Dark Webに掲載されている「依頼」の例 
ここでは、あえて詳細をぼかして掲載するが、メッセージの件名を見ると「銀行で働く人、求む! 億万長者になろう」と、「いかにも」な誘い文句が掲載されているようだ

 「組織の機密情報を盗み出してほしい」という依頼であれば作業の難しさや見つかるリスク、報酬の見合わなさから、依頼を受ける人は少ないのですが、「プログラムをクリックするだけ」の依頼であれば罪悪感は少なく、リスクも小さいため、小銭稼ぎ感覚で請け負う人が現れているのが現状です。    

 実際に、セキュリティ企業であるRedOwlがホワイトペーパー「Monetizing The Insider」で紹介している事例では、上記のような依頼に対して、応募者とのやりとりが進んでいる様子が掲載されています。

RedOwlのホワイトペーパーより、闇市場での取引アカウントの例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

RedOwlのホワイトペーパーより、闇市場での取引アカウントの例
このレポートでは「週5件の投稿があり、合計40件、計3万5800ドルの取引」があったとされている。3万5800ドル÷40件=895ドル/1件なので、1件あたり約8万9500円の「アルバイト」が成立しているのが現状だ。むろん、この誘いに乗れば各国の法に即した裁きを受けることになる。加えて被害者があれば、損害の賠償を請求されることもあるだろう

 このように、攻撃者はより新たな弱い所(脆弱性)を巧みに突いた攻撃へと移行します。
 
 では、人の脆弱性に対しての対策はどうすればよいでしょうか? この脆弱性は非常に難しく、この攻撃に対してこの手で対応、というような決まりはまだないのが現状です。しかし、攻撃者が人を狙う性質である以上、人自身が正しい知識を身に着け、対応することができればリスクを軽減することはできると考えています。

“人”の意識を少しでも変えていく

 とはいえ、不審なメールを開かない、などはこれまでのいろいろなところで言われています。それでも被害がなくならないのは、「セキュリティへの対策をなかなか自分ゴト化しづらいから」という現実があると思っています。    

 例えば「昨今ランサムウェア=危険」という認識が一気に広がっていますが、これは、利用者自身の業務がストップしてしまう、大事な写真などが使えなくなる、といった直接的な被害を受け、自分ゴト化ができているから、だと考えています。逆にフリーのWi-Fiは危険だよ、という話を知っていても、その脅威はなかなか目に見えないので気付けない。セキュリティを身近に感じる、自分ゴト化することがまずスタートと考えています。     

 ここまで見てくると、情報システム担当者やセキュリティの責任者がいくら努力をしても、結局は人のセキュリティ意識が変わらなければ何も守れない、と思われることでしょう。セキュリティを考える上では、専任担当が相応の体制を整えておくのはもちろんですが、それと並行して、社員全体の意識改革に取り組まなければなりません。

ITがニガテな人の意識改革はどうすれば? 最初のアプローチに必要な「3点セット」

 社員全体の意識改革に取り組まなければならない、と言うのは簡単ですが、ITリテラシーは部門や世代、取り扱う業務によっても大きく異なります。  

 IT用語を駆使した研修を行ったところで、なかなかすぐに変わることはありません。まずはなるべく広く、飽きずに理解してもらうことが肝心です。私たちはこうした思いから、冊子を制作、配布しています(http://www.motex.co.jp/vision/enlightenment_activity/education_book/)。

社員の意識改革には、わかりやすさ、親しみやすさも重要

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

社員の意識改革には、わかりやすさ、親しみやすさも重要
(http://www.motex.co.jp/vision/enlightenment_activity/education_book/より)

 皆さんの職場で広く使っていただきたいと考え、電子データに関しては無償で提供しており、どなたでもダウンロードしていただけます。また、情報セキュリティに関する基礎知識を学ぶための「講義」に使える「講師用資料」や、講義後の理解度チェックに役立つ「テスト」のデータも公開しています。

冊子、セミナー、テストまでの流れに沿った資料

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

冊子、セミナー、テストまでの流れに沿った資料
(http://www.motex.co.jp/vision/enlightenment_activity/education_book/より)

 お薦めの使い方は、まずセキュリティブックを全員に配布し、一通り読んだところで「講義」を実施、講義後にテストで理解度を測る、という流れです。    

 教科書的なものでは読んでもらえないかもしれませんが、面白く理解してもらえるように工夫をし、組織全体の意識を高める取り組みも情報セキュリティ担当者の重要なミッションです。ぜひ、これらのツールをご活用ください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008976


IT・IT製品TOP > Key Conductors > 中本 琢也(エムオーテックス株式会社) > 社員の「セキュリティホール」はどこが攻め込まれやすいか

このページの先頭へ

キーマンズネットとは
11年間エンジニアとしてセキュリティソフトウェアーの設計・開発を担当。現在は経営企画部門にて海外への市場開拓をメインに、広報活動、情報システム業務など幅広く推進。日本のみならず、アメリカ・東南アジアへの製品展開を通じて得られる最新グローバル情報を社内外へ発信。

ページトップへ