去る9月、ISSE会議で、アーンスト アンド ヤングのコンサルタント、シャノン・コンへディが、企業はソーシャルエンジニアリングを用いての攻撃にもっと警戒を強めるべきだとのプレゼンテーションを行った。ISSEはInformation Security Solutions Europe(情報セキュリティ・ソリューション・ヨーロッパ)の略で、ヨーロッパ唯一の無所属かつ総合的なセキュリティ会議のことだ。今年はポーランドのワルシャワで開かれた。ソーシャルエンジニアリングとは、データ盗難などを目的として不正にシステムにアクセスをするために、アカウントやパスワードなどを正規のユーザから聞きだしたりすることだ。コンヘディは、攻撃前に犯罪者がGoogleのようなツールや各企業のウェブサイトなどを用いて、調査や情報収集を行っていると警告した。しかし、企業ではソーシャルエンジニアリングの危険を過小評価しがちで、実際には外部からソーシャルエンジニアリングにより情報を不正に獲得されていても気がついていないというのが実情だ。そのため、攻撃に対する防御で最も重要なのは従業員の教育と認識だという。●実在の社名を使う犯罪者にだまされるソーシャルエンジニアリングを用いた攻撃で最も有名なものは、個人情報の収集を行う企業、Choice Pointの事件だろう。2005年に明らかになったもので、犯人は偽の運転免許証を用いてアカウントを開設。情報を不正に獲得したうえで、その情報を用いて物品を購入していた。Choice Pointは特定の条件を満たす相手に対し、消費者データの販売も行っている。データ盗難犯は購入対象には該当していなかったが…【執筆:バンクーバー新報 西川桂子】──※ この記事は Scan購読会員向け記事をダイジェスト掲載しました購読会員登録案内http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
