2016.06.26(日)

[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

特集 特集

毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催され、なかでも世界最高峰のハッカーコンテスト「DEF CON CTF」が有名だ。日本国内でも、セキュリティ人材育成を目的として CTF イベント「SECCON」が開催されている。

一方、今年で 6 回目の開催を迎えた DEF CON 併催イベント「 SECTF (ソーシャルエンジニアリング CTF)」は、企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベントだ。

昨年、SECTF 実施の合法性や、その全貌について密着取材を実施した本誌は今年、日米で同時多発的に発生した大規模情報漏えい事故とソーシャルエンジニアリングの関連などについて、SECTF ワークショップ主催の、ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名に話を聞いた。(聞き手:江添 佳代子 氏)


──米小売大手の Target 社の情報漏えいにはじまり、最近では米人事管理局など、「メガブリーチ」と呼ばれる規模の大きい事故が続発しました。こうした攻撃で、ソーシャルエンジニアリングの手口はどのように使われていたのでしょうか。

ハドナジー氏:まず、ソーシャルエンジニアリングは、「フィッシング( Phishing )」、「ビッシング( Vishing )」、そして「なりすまし( Impersonation )」の大きく 3 種類に分けることができます。「フィッシング」や「なりすまし」はよく知られていますが、「ビッシング」とは、電話などを利用して口座番号や暗証番号、その他個人情報を不正に取得する方法です。多くのメガブリーチで、「フィッシング」と「ビッシング」が使われています。

──最近のソーシャルエンジニアリングの傾向を教えて下さい。

ハドナジー氏:まず、「フィッシング」攻撃は大幅な増加傾向にあります。攻撃者は決済などのペイメントサービスと偽ったメールや、金融機関のロゴを使ったメールなどを活用することで、ターゲットを騙します。金銭に関わる内容のメールに人は敏感に反応するからです。最近は、フィッシングメールの英文法を添削するサービスまで現れています。

また、規模の大きい攻撃では、ビッシング用のコールセンターを設立する例があり、ビッシングも増加傾向にあるといえます。電話のなりすましを行うソフトウェアが存在し、フィッシングメールとビッシングを組み合わせて攻撃する手法もあります。たとえば、フィッシングメールを送った直後に電話で連絡し、メールの確認依頼をすると非常に効果があるのです。

フィンチャー氏:ビッシングの被害にあった具体的な例ですが、カナダの大手通信会社ロジャーズ・コミュニケーションズ社は、ビッシングを通じて顧客情報を攻撃者に奪われました。その後、攻撃者は、顧客情報の身代金を要求したのですが、ロジャーズ・コミュニケーションズが応じなかったため、攻撃者は手に入れた情報を流出し、同社は大きな被害を受けました。

──いまお話されたようなトレンドが、今回の SECTF にどんな影響を与えましたか。また、昨年とはどんな点が違いますか。

ハドナジー氏:攻撃のトレンドに合った内容という意味では、今回の SECTF では、最近の攻撃対象となりやすい、通信会社に焦点を当てました。SECTF で、ターゲットを通信会社に絞るというところは昨年と大きく異なる部分です。また、昨年は参加者にペアを組んで挑んでいただきましたが、今回はそれぞれが単独で挑戦するよう変更を加えました。

また、今年は、SECTF の注目度が増しており、今回の応募サイトの閲覧数は約 80 万を超えました。また、 SECTF の応募者数も数百人まで増え、そこから我々は、最終的に SECTF に参加する 14 人を選考しました。

後編につづく
《湯浅大資》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  2. 政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」

    政府機関のセキュリティ管理 第1回「米国情報管理法(FISMA)」

  3. 顧客視点のサイバーセキュリティスタンダードを発信 ~ デロイト、インテリジェンスセンター(CIC)設立

    顧客視点のサイバーセキュリティスタンダードを発信 ~ デロイト、インテリジェンスセンター(CIC)設立

  4. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  5. 工藤伸治のセキュリティ事件簿 シーズン5 ワンタイムアタッカー 第1回「プロローグ:創業社長」

  6. ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

  7. ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」

  8. 急増するスマートフォンの落し物リスクとこれからの落し物について

  9. モバイル化進展に伴う脅威(2)悪魔の双子対策とワイヤレスセキュリティ

  10. ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×