ゴミ箱漁りも効果的、ヘルプデスクは格好のターゲット

古典的な手法ではあるが「ゴミ箱漁り」も有効だという。

ミトニック氏は「かつては、スティーブ・ジョブズのゴミも漁った」と笑いを誘い、「ゴミは犯罪者には宝の山」と表現した。「漁る際には、なるべく小さな袋を狙う」とポイントを挙げ、「小さく千切られていたら、それこそ怪しい。コーヒーショップで復元作業をよくやっていた」とエピソードを挙げた。

この話から「シュレッダーにかけたらから安全、ということはない」と警鐘を鳴らす。さらに磁気メディア関しても「データを消去し捨てても産業スパイなら復元する」と続け、廃棄物には注意を払うよう語気を強めた。

また、対象が大手企業の場合、従業員向けヘルプデスクを狙うことも多いという。特に、「ヘルプデスクをアウトソーシングしているような企業はやりやすい」(ミトニック氏)ようだ。

「従業員を装って、VPNのパスワードをリセットしてほしい、とお願いすれば対応してくれることが多い。リセットの際には、社員番号や社会保証番号、母親の旧姓など、本人確認用の質問を用意しているケースもあるが、質問のパターンはずっと固定の企業がほとんど。一度問い合わせして質問項目を確認してから、該当項目を調べればよい」(ミトニック氏)

また、攻撃をしかける際には、「できれば、データベース管理者やシステム管理者のアカウントを狙う」とし、「そのために、特定ベンダーのサポートを装えるようなドメイン名を取得してメールアカウントを作り、そこから連絡を入れてセキュリティを一時解除してもらったり、パスワードやプログラムを送ってもらったりする」(ミトリック氏)と語った。

マルウェアのデモも

講演では、情報盗取に使用するマルウェアやWebサイトもデモ付きで紹介された。

パターンファイルを更新したばかりのアンチウィルスソフトウェアで検出できないバックドアやキーロガーのほか、電話問い合わせ向けの例として、フィッシングサイトへ誘導する自動音声応答システムや、正規のカスタマーサポートセンターへの電話を中継して、ユーザーが押した番号の情報を入手するアプリケーションも披露された。

さらに、営業社員やマーケティング担当者など、外部と接触する機会の多い職制が狙われることが多いこと、P2Pネットワークで検索するだけでもネットワーク構成図やID/パスワードなどの極秘資料を発見できることなども説明された。

マルウェアのデモ。右下画面の端末の操作内容が左上の画面にそのまま表示されている。攻撃側は、昼食時などユーザーが離席するタイミングを見計らって各種の処理を実行するという

コミュニティでリソースを提供するタイプの公衆無線LANサービスでは、ルーターにデータ盗取ソフトウェアを仕込むのも容易という

最新版へのアップロードが有効な対策

パネルディスカッションでは、こうした巧みなソーシャルエンジニアリングにおける対策についても話題が及んだ。

まず、モデレータの@IT 高橋睦美氏による「日本は言葉の壁により自然と守れている傾向があるのでは」との問いかけに対しては、ミトニック氏が「通訳を介してコミュニケーションをとると、通常よりも偽装しやすく、信頼されやすい」と説明。「実際、そういった手法で重要情報を聞き出したことが何度もある」(ミトニック氏)と続けた。

さらに、日本の国民性について「日本人は無条件に他人を信頼する人が多い。まったく誰も信用しないロシア人とは対照的(笑)」(ミトニック氏)とコメント。これに対し、駒瀬氏が、「ソーシャルゲームが流行し、協力プレイを通じて知らない人同士でも簡単に仲良くなれる今の日本は、攻撃されやすい土壌ができあがっている」とし、日本人も注意が必要であると指摘された。

攻撃される確率を下げる対策を聞かれると、ハドナジー氏、駒瀬氏、ミトニック氏は、口を揃えて「ソフトウェアを最新版にアップロードしておくこと」と答える。

パネルディスカッションの様子。スクリーンがミトニック氏。テーブル上は左がハドナジー氏、右が駒瀬氏。モデレータは@ITの高橋睦美氏が務めた

その理由について、ミトニック氏は「前述のメタデータ収集ツールの例からもわかるとおり、古いバージョンのソフトウェアを使っているユーザーは狙われやすい」とコメント。続けて、「最新版といっても、できれば旧バージョンのセキュリティアップデートではなく、最新のメジャーバージョンを利用するべき。攻撃者はより簡単な端末/ユーザーを選ぶので、セキュリティ対策が施された最新版に更新するだけでターゲットから外れる」(ハドナジー氏)とユーザーにアドバイスを送った。

また、「ソーシャルエンジニアリングに対するトレーニング効果を高めるためには?」との問いに対して、ハドナジー氏は「最初に脅かして緊張感を持たせること」と回答。これに対してミトニック氏は、「某大手銀行からコンサルティングの依頼を受けた際に、厳重に入退出が管理されたデータセンターに侵入した」というエピソードを紹介。特殊な機材を用いて、管理者の入館証をスキャンして侵入した後、データセンターの中から管理者に電話をかけたところ、その後のトレーニングが真剣に行われたことを明かした。