[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

フィッシング攻撃は大幅な増加傾向にあり、規模の大きい攻撃では、「ビッシング」用のコールセンターを設立する例があります。フィッシングメールとビッシングを組み合わせる手法もあります。メールを送った直後に電話で連絡し、確認依頼をすると効果があるのです。

特集
PR
ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏
  • ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏
  • Michele Fincher(ミシェル・フィンチャー)氏
  • 日本でソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長 駒瀬 彰彦 氏
  • 江添佳代子氏
毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催され、なかでも世界最高峰のハッカーコンテスト「DEF CON CTF」が有名だ。日本国内でも、セキュリティ人材育成を目的として CTF イベント「SECCON」が開催されている。

一方、今年で 6 回目の開催を迎えた DEF CON 併催イベント「 SECTF (ソーシャルエンジニアリング CTF)」は、企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベントだ。

昨年、SECTF 実施の合法性や、その全貌について密着取材を実施した本誌は今年、日米で同時多発的に発生した大規模情報漏えい事故とソーシャルエンジニアリングの関連などについて、SECTF ワークショップ主催の、ソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名に話を聞いた。(聞き手:江添 佳代子 氏)


──米小売大手の Target 社の情報漏えいにはじまり、最近では米人事管理局など、「メガブリーチ」と呼ばれる規模の大きい事故が続発しました。こうした攻撃で、ソーシャルエンジニアリングの手口はどのように使われていたのでしょうか。

ハドナジー氏:まず、ソーシャルエンジニアリングは、「フィッシング( Phishing )」、「ビッシング( Vishing )」、そして「なりすまし( Impersonation )」の大きく 3 種類に分けることができます。「フィッシング」や「なりすまし」はよく知られていますが、「ビッシング」とは、電話などを利用して口座番号や暗証番号、その他個人情報を不正に取得する方法です。多くのメガブリーチで、「フィッシング」と「ビッシング」が使われています。

──最近のソーシャルエンジニアリングの傾向を教えて下さい。

ハドナジー氏:まず、「フィッシング」攻撃は大幅な増加傾向にあります。攻撃者は決済などのペイメントサービスと偽ったメールや、金融機関のロゴを使ったメールなどを活用することで、ターゲットを騙します。金銭に関わる内容のメールに人は敏感に反応するからです。最近は、フィッシングメールの英文法を添削するサービスまで現れています。

また、規模の大きい攻撃では、ビッシング用のコールセンターを設立する例があり、ビッシングも増加傾向にあるといえます。電話のなりすましを行うソフトウェアが存在し、フィッシングメールとビッシングを組み合わせて攻撃する手法もあります。たとえば、フィッシングメールを送った直後に電話で連絡し、メールの確認依頼をすると非常に効果があるのです。

フィンチャー氏:ビッシングの被害にあった具体的な例ですが、カナダの大手通信会社ロジャーズ・コミュニケーションズ社は、ビッシングを通じて顧客情報を攻撃者に奪われました。その後、攻撃者は、顧客情報の身代金を要求したのですが、ロジャーズ・コミュニケーションズが応じなかったため、攻撃者は手に入れた情報を流出し、同社は大きな被害を受けました。

──いまお話されたようなトレンドが、今回の SECTF にどんな影響を与えましたか。また、昨年とはどんな点が違いますか。

ハドナジー氏:攻撃のトレンドに合った内容という意味では、今回の SECTF では、最近の攻撃対象となりやすい、通信会社に焦点を当てました。SECTF で、ターゲットを通信会社に絞るというところは昨年と大きく異なる部分です。また、昨年は参加者にペアを組んで挑んでいただきましたが、今回はそれぞれが単独で挑戦するよう変更を加えました。

また、今年は、SECTF の注目度が増しており、今回の応募サイトの閲覧数は約 80 万を超えました。また、 SECTF の応募者数も数百人まで増え、そこから我々は、最終的に SECTF に参加する 14 人を選考しました。

後編につづく
《湯浅 大資》

関連リンク

編集部おすすめの記事

特集

Black Hat USA / DEF CON

クリス・ハドナジー(Chris Hadnagy)

フィッシング(Phishing)

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×