フェイクCD/DVDによる攻撃の有効性? あるいは防御方法 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

フェイクCD/DVDによる攻撃の有効性? あるいは防御方法

特集 特集

 筆者はかねてから実験してみたいことがあるが、いろいろヤバイので実際にはやっていない。その実験とはこういうものだ。

1.CDもしくはDVDを作る

 特定のサイトにローカルPC内のファイル(なんでもいいのであるが、Windowsで共通して存在するファイル)を送信するアプリケーションを作り、それをautorunで自動的に起動するように設定しておく。

2.信頼してもらえそうな封筒を作る

 役所、プロバイダ、パソコンメーカ、NTT等、何でもいいが、デザインがすぐにわかる封筒を偽造する。個人的には、情報家電関連(HDDプレイヤーとか、ゲーム機など)だと騙されやすいような気がする。

3.作った封筒にCD/DVDと手紙を入れてマンションなどに適当に投函する

 手紙には、おおまかこんな内容を記載する。
「日頃はご愛顧ありがとうございます。先日、大変危険性の高いウィルスが発見されました。これは特定のプロバイダ利用者のみ(ここは封筒に合わせて替える)に感染する特殊なもののため、市販のアンチウイルスソフトでは対応することができません。まことにお手数ですが、大至急、このCD/DVDのウィルス対策ソフトをインストール下さいますようお願い申し上げます。挿入するだけで、自動的にインストールされます」

 あるいはこういうのでもいい。
「この度、当社ではインターネット普及キャンペーンを行っております。当選者の方に最大100万円が当たります。同封のCD/DVDを挿入していただくと自動的にキャンペーンサイトにアクセスしますので、そこで抽選を行ってください」

 果たして、これでどれくらいの人がひっかかるのであろうか? 筆者は相当数の方がひっかかるような気がしている。やってみたい。やってみたいけど、これ絶対に違法だよな。というわけでやっていない。

 何を言いたいかというと、ネット上のサービスの脆弱性というか、セキュリティレベルの考え方を少し変えないといけないんじゃないかということである。

 セキュリティレベルは通常、OS、ネットワーク、あるいはソーシャルエンジニアリングなど個別に議論され、評価されているような気がする。しかし、どこかに穴があれば、そこから悪用されてしまうわけなので、全体的に評価しないといけない。サービスのセキュリティレベルは、そのサービスに含まれる最も脆弱な箇所が、全体のセキュリティレベルによって決定されるのではないだろうか。そこから侵入されてしまえば、他の防御機構も越えられてしまう可能性が高いわけなので、個別のセキュリティレベルの平均ではなく一番弱いところが基準になるだろう。

 例えば、システムをガチガチに固めていても、利用者の個人情報を社員が悪用してなりすましすることも可能だろう。この場合は、システムに比べて社内管理レベルのセキュリティレベルが低く、全体のレベルがそこに合わせられるわけだ。

 などと考えて来ると、もっとも脆弱なポイントは、ソーシャルエンジニアリングとか、先に挙げたポスティングとか、原始的な部分になると思う。

 もうひとつ重要なポイントがある。

 先ほどご紹介したフェイクCD/DVDは、インターネットに接続されていなければ脅威にはならない。つまり、全体的に利便性が上がれば上がるほど、脅威は大きくなる可能性が高い。

 通常、利便性と危険性は表裏一体で、利便性を上げれば危険性も高まるというトレードオフがある。しかし、残念なことに多くの場合、これらも個別に議論されることの方が多い。フェイクCD/DVDの例で言えば、取り巻く環境の利便性が上がったために、フェイクCD/DVDの持つ危険性が上がったわけである。

 筆者は寡聞にして知らないのであるが…

【執筆:Prisoner Langley】


【関連記事】
家庭のセキュリティ? 何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×