フェイクCD/DVDによる攻撃の有効性? あるいは防御方法 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.17(木)

フェイクCD/DVDによる攻撃の有効性? あるいは防御方法

特集 特集

 筆者はかねてから実験してみたいことがあるが、いろいろヤバイので実際にはやっていない。その実験とはこういうものだ。

1.CDもしくはDVDを作る

 特定のサイトにローカルPC内のファイル(なんでもいいのであるが、Windowsで共通して存在するファイル)を送信するアプリケーションを作り、それをautorunで自動的に起動するように設定しておく。

2.信頼してもらえそうな封筒を作る

 役所、プロバイダ、パソコンメーカ、NTT等、何でもいいが、デザインがすぐにわかる封筒を偽造する。個人的には、情報家電関連(HDDプレイヤーとか、ゲーム機など)だと騙されやすいような気がする。

3.作った封筒にCD/DVDと手紙を入れてマンションなどに適当に投函する

 手紙には、おおまかこんな内容を記載する。
「日頃はご愛顧ありがとうございます。先日、大変危険性の高いウィルスが発見されました。これは特定のプロバイダ利用者のみ(ここは封筒に合わせて替える)に感染する特殊なもののため、市販のアンチウイルスソフトでは対応することができません。まことにお手数ですが、大至急、このCD/DVDのウィルス対策ソフトをインストール下さいますようお願い申し上げます。挿入するだけで、自動的にインストールされます」

 あるいはこういうのでもいい。
「この度、当社ではインターネット普及キャンペーンを行っております。当選者の方に最大100万円が当たります。同封のCD/DVDを挿入していただくと自動的にキャンペーンサイトにアクセスしますので、そこで抽選を行ってください」

 果たして、これでどれくらいの人がひっかかるのであろうか? 筆者は相当数の方がひっかかるような気がしている。やってみたい。やってみたいけど、これ絶対に違法だよな。というわけでやっていない。

 何を言いたいかというと、ネット上のサービスの脆弱性というか、セキュリティレベルの考え方を少し変えないといけないんじゃないかということである。

 セキュリティレベルは通常、OS、ネットワーク、あるいはソーシャルエンジニアリングなど個別に議論され、評価されているような気がする。しかし、どこかに穴があれば、そこから悪用されてしまうわけなので、全体的に評価しないといけない。サービスのセキュリティレベルは、そのサービスに含まれる最も脆弱な箇所が、全体のセキュリティレベルによって決定されるのではないだろうか。そこから侵入されてしまえば、他の防御機構も越えられてしまう可能性が高いわけなので、個別のセキュリティレベルの平均ではなく一番弱いところが基準になるだろう。

 例えば、システムをガチガチに固めていても、利用者の個人情報を社員が悪用してなりすましすることも可能だろう。この場合は、システムに比べて社内管理レベルのセキュリティレベルが低く、全体のレベルがそこに合わせられるわけだ。

 などと考えて来ると、もっとも脆弱なポイントは、ソーシャルエンジニアリングとか、先に挙げたポスティングとか、原始的な部分になると思う。

 もうひとつ重要なポイントがある。

 先ほどご紹介したフェイクCD/DVDは、インターネットに接続されていなければ脅威にはならない。つまり、全体的に利便性が上がれば上がるほど、脅威は大きくなる可能性が高い。

 通常、利便性と危険性は表裏一体で、利便性を上げれば危険性も高まるというトレードオフがある。しかし、残念なことに多くの場合、これらも個別に議論されることの方が多い。フェイクCD/DVDの例で言えば、取り巻く環境の利便性が上がったために、フェイクCD/DVDの持つ危険性が上がったわけである。

 筆者は寡聞にして知らないのであるが…

【執筆:Prisoner Langley】


【関連記事】
家庭のセキュリティ? 何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

    Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. ISMS認証とは何か■第1回■

  6. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×