[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

2015年9月3日(木) 10時15分
このエントリーをはてなブックマークに追加
ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏の画像
ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏
Michele Fincher(ミシェル・フィンチャー)氏の画像
Michele Fincher(ミシェル・フィンチャー)氏
日本でソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長 駒瀬 彰彦 氏の画像
日本でソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長 駒瀬 彰彦 氏
江添佳代子氏の画像
江添佳代子氏
毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催され、なかでも世界最高峰のハッカーコンテスト「DEF CON CTF」が有名だ。日本国内でも、セキュリティ人材育成を目的として CTF イベント「SECCON」が開催されている。

一方、今年で 6 回目の開催を迎えた DEF CON 併催イベント「 SECTF (ソーシャルエンジニアリング CTF)」は、企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベントだ。

昨年、SECTF 実施の合法性や、その全貌について密着取材を実施した本誌は今年、日米で同時多発的に発生した大規模情報漏えい事故とソーシャルエンジニアリングの関連などについて、SECTF ワークショップ主催の、ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名に話を聞いた。(聞き手:江添 佳代子 氏)


──米小売大手の Target 社の情報漏えいにはじまり、最近では米人事管理局など、「メガブリーチ」と呼ばれる規模の大きい事故が続発しました。こうした攻撃で、ソーシャルエンジニアリングの手口はどのように使われていたのでしょうか。

ハドナジー氏:まず、ソーシャルエンジニアリングは、「フィッシング( Phishing )」、「ビッシング( Vishing )」、そして「なりすまし( Impersonation )」の大きく 3 種類に分けることができます。「フィッシング」や「なりすまし」はよく知られていますが、「ビッシング」とは、電話などを利用して口座番号や暗証番号、その他個人情報を不正に取得する方法です。多くのメガブリーチで、「フィッシング」と「ビッシング」が使われています。

──最近のソーシャルエンジニアリングの傾向を教えて下さい。

ハドナジー氏:まず、「フィッシング」攻撃は大幅な増加傾向にあります。攻撃者は決済などのペイメントサービスと偽ったメールや、金融機関のロゴを使ったメールなどを活用することで、ターゲットを騙します。金銭に関わる内容のメールに人は敏感に反応するからです。最近は、フィッシングメールの英文法を添削するサービスまで現れています。

また、規模の大きい攻撃では、ビッシング用のコールセンターを設立する例があり、ビッシングも増加傾向にあるといえます。電話のなりすましを行うソフトウェアが存在し、フィッシングメールとビッシングを組み合わせて攻撃する手法もあります。たとえば、フィッシングメールを送った直後に電話で連絡し、メールの確認依頼をすると非常に効果があるのです。

フィンチャー氏:ビッシングの被害にあった具体的な例ですが、カナダの大手通信会社ロジャーズ・コミュニケーションズ社は、ビッシングを通じて顧客情報を攻撃者に奪われました。その後、攻撃者は、顧客情報の身代金を要求したのですが、ロジャーズ・コミュニケーションズが応じなかったため、攻撃者は手に入れた情報を流出し、同社は大きな被害を受けました。

──いまお話されたようなトレンドが、今回の SECTF にどんな影響を与えましたか。また、昨年とはどんな点が違いますか。

ハドナジー氏:攻撃のトレンドに合った内容という意味では、今回の SECTF では、最近の攻撃対象となりやすい、通信会社に焦点を当てました。SECTF で、ターゲットを通信会社に絞るというところは昨年と大きく異なる部分です。また、昨年は参加者にペアを組んで挑んでいただきましたが、今回はそれぞれが単独で挑戦するよう変更を加えました。

また、今年は、SECTF の注目度が増しており、今回の応募サイトの閲覧数は約 80 万を超えました。また、 SECTF の応募者数も数百人まで増え、そこから我々は、最終的に SECTF に参加する 14 人を選考しました。

後編につづく
《湯浅大資》

注目ニュース

icon
[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史

DEF CON の CTF(Capture The Flag)は知っていても、今年で 5 回目の開催となった SECTF (ソーシャルエンジニアリング CTF)は、日本人に馴染みが薄いだろう。SECTF とは、その名のとおりソーシャルエンジニア...

icon
[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy氏インタビュー (2) ソーシャルエンジニアリングと日本文化

「たとえば初めての年、攻撃された企業はみんな怖がっていた。だから僕は、『もしも僕らのデータを見たいようであれば、すべて見せます』とオファーして、無条件で見せた。それは効果があったし、助けになったよ」

icon
[DEF CON 22 レポート] SECTF 競技レポート

挑戦者は観客の前で攻撃先の企業へ電話をかけ、制限時間30分以内にできるだけ多くの情報を聞き出せるよう、ソーシャルエンジニアリングのスキルを駆使する。

icon
[DEF CON 22] Interview with Chris Hadnagy, Guru of Social Engineering (1)―Purpose and History

本記事は2014年9月25日に配信した、 「[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史」 の英語版です。

icon
[DEF CON 22] Interview with Chris Hadnagy, Guru of Social Engineering (2)―Japanese Culture and  Social Engineering

本記事は2014年9月30日に配信した、 「[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (2) ソーシャルエンジニアリングと日本文化」 の英語版です。

RSS

特集・連載

ピックアップフォト