【ソーシャルエンジニアリング】
「ソーシャルエンジニアリング」という言葉を聞かれて、皆さんは何を思い浮かべますか?実は筆者は、1年ほど前にこの言葉をニュースで見た時には「社会科学を元にしたエンジニアリング」と考えていました。
それは必ずしも間違えている訳ではなく、直訳した「社会工学」という用語は「大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問(出典:Wikipedia)」として、今でも国内外の工学系大学の多くで研究分野として存在しています。
ただニュース等でこの言葉が「カタカナ」で使われる時は、皆さんご存じのようにセキュリティ分野に特化して記述されている場合が多く、「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法(出典:Wikipedia)」という意味で使われています。
見方を変えると、社会工学の研究の成果や手法を悪い目的に活用している行為を指していると言えますが、その行為からわたしたちを防御するため社会工学の成果や手法を活用するなどの「前向きな行為」にこの言葉が使われているのはあまり見かけません。
ある意味「人を騙す」という行為は人類の文化発祥以来続いていることですが、セキュリティ分野において「ソーシャルエンジニアリング」という言葉で、本来の学術用語としての意味から離れた詐欺的手法を表す場合が非常に増えているのには2つの理由があると考えています。
一つは、急拡大するデジタル関連ビジネスを(都合の)よい「狩場」として目をつけたふとどき者たちが、攻略コストがあまりかからない「人」を糸口に(または技術的なスキを突くやり方と組み合わせて)荒稼ぎしようと暴れまわっているという攻撃側の事情です。
そしてもう一つは、今まで以上に多くの人がデジタル環境を利用せざるを得ない状況に置かれるとともに、ぼんやりとした「(詐欺にとっては一番おいしい)不安」を感じている層も増大している(警察庁が2021年9月実施のアンケートで不安との回答者が75%以上)という、利用者意識の脆弱性拡大です。
それでは、急増している「ソーシャルエンジニアリング」による攻撃から身を守るにはどうすれば良いのでしょう。私は、従来型のデジタル技術を駆使しての防御とは違う対応も必要になると考えます。「人」をターゲットにした攻撃には、情報公開や周知による意識改革や実践的な研修などによる「人のリテラシー」を向上させる対策が有効ではないかと思いますし、最新のNIST SP 800-53rev5でも、「意識向上と訓練(AT)」などの項目で言及されています。
こういったセキュリティを向上させる前向きな動きがもっと活性化していくと、「ソーシャルエンジニアリング」という言葉が意味する内容も、本来の姿に変わっていくのかもしれません。
【フィッシング】
フィッシングを「魚釣り(fishing)のこと」だと言ったら、当通信の読者の方には笑われてしまいそうですが、ここでの綴りはセキュリティの世界で使われる「phishing」であり、「インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為(出典:Wikipedia)」を指します。
ここから派生的に、ターゲットを絞り「特定の個人や団体を標的とした詐欺行為」を「スピアフィッシング:spear phishing(モリ突き)」、価値の高い情報や権限を有する地位にある「企業幹部や有名人を標的とした詐欺行為」を「ホエーリング:whaling(捕鯨)」という名称で呼んだりしています。
いずれも、悪意をもった第三者がメール等で偽サイトなどに誘導して、犯罪に必要な情報(個人のクレジット番号やパスワード、企業の機密情報、場合によっては国家機密など)を取得することを目的とした詐欺行為です。
ここでポイントになるのは、利用者にいかに疑われずに「誘導」し、「行動」させるかという事であり、その「欺し」のテクニックとして、前号で解説した「ソーシャルエンジニアリング」の手法(不安を煽る、急がせる、身近な情報で信用させるなど)が活用されています。
「日本人を標的にした偽Amazonメールだけでも、20年8月から21年3月までの8ヶ月で1億8500万通であった」(日経新聞:4/5)と報道されていることからも決して他人事ではなく、またフィッシングで入手された情報が大規模なサイバー攻撃の入り口にもなり得ることからも、電子署名付きメールの推進など積極的な対策をとる必要性がより高まっていると感じます。
【ランサムウェア】
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた名称であり、コンピュータウイルスの一種です(警察庁サイバー犯罪対策プロジェクトHPから)。このウイルスに感染すると、パソコン内のデータが暗号化されたり、スマートフォンが使用不能になったりして、その制限を解消するのと引き換えに「身代金」を要求される事態に陥ります。
サイバー攻撃としてこの言葉が使われる様になったのは10年以上前からですが、それ以前にも同様の犯罪行為はあり、1989年にフロッピー経由でインストールされたウイルス(PC Cyborgと呼称)がファイルの暗号化を行い、復元に「身代金」を求めたのが最初の事例と言われています。この時は暗号方式(共通鍵方式)等の課題があり早期に検挙されましたが、より高度な方式を活用出来る闇の研究・開発も進み、2005年には「PGPCorder」が発生し、翌2006年に発生した「Cryzip」では、暗号方式も公開鍵方式に進化するなどして解読の困難化も進み、亜種を含めて様々なウイルスが頻発するようになり、被害も増大してきました。
その後も、身代金の支払いを「暗号資産」で要求することで身元特定を回避出来る「CryptLocker」の登場等を受け、犯罪ビジネスとしての魅力を増大させ、ターゲットも従来の一般ユーザから、もっと「金になる」企業にシフトしてきました。2017年に発生した「WannaCry」では、Windowsの脆弱性を利用して感染力がより強力になり、企業にとどまらず政府機関もターゲットとなったことで世界的な被害(150カ国、20万台以上)が報告されています。
その後も様々なウイルスが発生し、最近では「身代金の要求」だけでなく、支払を拒否した場合は「機密情報の公開」という「二重脅迫」の手口も現れるなど、より凶悪化しています。日本でも昨年12月「カプコン」が支払いを拒否し、従業員の情報などが公開されてしまいました。
米国では先月、「ランサムウェア」によるとみられる石油パイプラインへのサイバー攻撃が発生し、背後には大規模な犯罪集団の存在があるとも報道されています。防御側も様々な策を練って対応してきていますが、あたかもビジネスを進めるように拡大・進化を継続している犯罪集団の「ターゲット」にされた場合、無傷でいられるかと言われると困難かもしれません。
日本政府により新しい「サイバーセキュリティ戦略」が策定中と報道されていますが、我々としても感染リスクを抑えるために「システムの堅牢化」や「人のリテラシー向上」など、とれる自衛策はまだまだあるように思います。そうした対応を実施したうえで、感染した場合の被害リスクに備え「護るべき」重要な情報を明確にして、安心できるクラウド等に定期的にバックアップをとるなど、攻撃の範囲外に保管しておくことも必要かもしれません。
(佃 2021.4~)
