2016.07.30(土)

[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

特集 特集

毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催され、なかでも世界最高峰のハッカーコンテスト「DEF CON CTF」が有名だ。日本国内でも、セキュリティ人材育成を目的として CTF イベント「SECCON」が開催されている。

一方、今年で 6 回目の開催を迎えた DEF CON 併催イベント「 SECTF (ソーシャルエンジニアリング CTF)」は、企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベントだ。

昨年、SECTF 実施の合法性や、その全貌について密着取材を実施した本誌は今年、日米で同時多発的に発生した大規模情報漏えい事故とソーシャルエンジニアリングの関連などについて、SECTF ワークショップ主催の、ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名に話を聞いた。(聞き手:江添 佳代子 氏)


──米小売大手の Target 社の情報漏えいにはじまり、最近では米人事管理局など、「メガブリーチ」と呼ばれる規模の大きい事故が続発しました。こうした攻撃で、ソーシャルエンジニアリングの手口はどのように使われていたのでしょうか。

ハドナジー氏:まず、ソーシャルエンジニアリングは、「フィッシング( Phishing )」、「ビッシング( Vishing )」、そして「なりすまし( Impersonation )」の大きく 3 種類に分けることができます。「フィッシング」や「なりすまし」はよく知られていますが、「ビッシング」とは、電話などを利用して口座番号や暗証番号、その他個人情報を不正に取得する方法です。多くのメガブリーチで、「フィッシング」と「ビッシング」が使われています。

──最近のソーシャルエンジニアリングの傾向を教えて下さい。

ハドナジー氏:まず、「フィッシング」攻撃は大幅な増加傾向にあります。攻撃者は決済などのペイメントサービスと偽ったメールや、金融機関のロゴを使ったメールなどを活用することで、ターゲットを騙します。金銭に関わる内容のメールに人は敏感に反応するからです。最近は、フィッシングメールの英文法を添削するサービスまで現れています。

また、規模の大きい攻撃では、ビッシング用のコールセンターを設立する例があり、ビッシングも増加傾向にあるといえます。電話のなりすましを行うソフトウェアが存在し、フィッシングメールとビッシングを組み合わせて攻撃する手法もあります。たとえば、フィッシングメールを送った直後に電話で連絡し、メールの確認依頼をすると非常に効果があるのです。

フィンチャー氏:ビッシングの被害にあった具体的な例ですが、カナダの大手通信会社ロジャーズ・コミュニケーションズ社は、ビッシングを通じて顧客情報を攻撃者に奪われました。その後、攻撃者は、顧客情報の身代金を要求したのですが、ロジャーズ・コミュニケーションズが応じなかったため、攻撃者は手に入れた情報を流出し、同社は大きな被害を受けました。

──いまお話されたようなトレンドが、今回の SECTF にどんな影響を与えましたか。また、昨年とはどんな点が違いますか。

ハドナジー氏:攻撃のトレンドに合った内容という意味では、今回の SECTF では、最近の攻撃対象となりやすい、通信会社に焦点を当てました。SECTF で、ターゲットを通信会社に絞るというところは昨年と大きく異なる部分です。また、昨年は参加者にペアを組んで挑んでいただきましたが、今回はそれぞれが単独で挑戦するよう変更を加えました。

また、今年は、SECTF の注目度が増しており、今回の応募サイトの閲覧数は約 80 万を超えました。また、 SECTF の応募者数も数百人まで増え、そこから我々は、最終的に SECTF に参加する 14 人を選考しました。

後編につづく
《湯浅大資》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)

    [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)

  2. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  3. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

    シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  4. 主要Sandbox製品使用実感 第2回「FireEye、Palo Alto」

  5. 続・工藤伸治のセキュリティ事件簿 第8回「バイト諸君」

  6. piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

  7. ソリトンシステムズのサイバーセキュリティ 第2回 「 『ランサムウェア』 が試金石? 今、企業の多層防御が試される」

  8. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  9. 続・工藤伸治のセキュリティ事件簿 第13回「別方向」

  10. 続・工藤伸治のセキュリティ事件簿 第25回「エピローグ:哀れみ」

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×