セキュリティの弱点は人間。ソーシャルエンジニアリングの裏側
Image: Gizmodo US

セキュリティの弱点は人間。ソーシャルエンジニアリングの裏側

  • 5,950

銀行のセキュリテイすら、ちょっとした怠慢でアッサリ破られてしまう。

コンピュータを通じたハッキングだけが、企業から情報を盗む方法ではありません。玄関から堂々と入って必要なものを盗めるなら、わざわざネットワークに侵入する必要はないのですから。

物理的なセキュリティをしっかりしていないと、ハッカーや企業スパイは企業の心臓部に侵入し、比較的安価なワイアレスのツールを使ってパスワードやプライベートなコミュニケーションを傍受できてしまうのです。他にも、社員を騙すことで機密情報を渡させることもできます。例えその社員が許可されている機密情報のレベルが低くても、手練れのハッカーであれば、そこを足がかりにして最終的にはもっとも機密度の高い情報を得ることもできるのです。

情報セキュリティの中で、一番の弱点は常に人間です。世界一強固なセキュリティシステムであっても、たった一人の従業員が会社のコンピュータに悪質なデバイスを繋いでしまったり、あるいは、見知らぬ人の為に、本来なら社員証が必要なドアを開けてしまうだけでも破られてしまいます。

今年のはじめ、米Gizmodoは企業セキュリティのテストを行なう企業、Netragardの従業員数人に、業界に出回っているインチキなセキュリティシステムに関してインタビューし、同時にテスターが使用しているハッキングツールも取材しました。ツールは、セキュリティバッジをクローンしたり、サーバールームのロックを回避したり、光ケーブルを傍受するものなど、さまざまな用途のものがあります。また、企業を創立したAdriel Desautels氏は、現地でハッキングを行なうテスターの体験談なども話してくれました。

テスターの一人は、清掃員にトイレを使わせてくれるよう懇願して50ドルを渡すことで、強固に守られたビルに侵入しました。トイレを出た彼は、誰にも見られることなくサーバールームに入り、機材を「盗んだ」後に裏口からこっそり抜け出したのです。言うまでもなく、これが本当の侵入であったら、この会社はとんでもないことになっていたでしょう。

とはいえ、常に全てが計画通りとも行かないようで、別のテスターはCEOのオフィスにまで侵入することができましたが、CEOが個人でセキュリティを雇っていることを知らず、銃を持った男達に囲まれてしまったこともあったそうです。

また、とある大手銀行での仕事の際は、数分と経たずに銀行のシステムを支配してしまいました。銀行の重役は、すでに他の会社にネットワークのスキャンを何度も依頼していたため、驚きを隠せなかったそうです。スキャンが見逃していたのは、リモートデスクトップのシステムが、ユーザ名、パスワード共に「admin」だったことでした。この銀行はセキュリティに何百万円相当の金額をかけていましたが、数人のハッカーによって、コーヒーを淹れる程度の時間で全てのシステムを乗っ取られてしまったのです。多くの人が信頼せざるを得ない銀行ですらこれでは、不安にならざるをえませんね。

「実際に行なわれるハッキングと同じレベルでテストしなければ、防弾チョッキを水鉄砲で試すようなものだ、と誰も理解していなかったのです」とDesautels氏。

皆さんも、アップデートを怠っていたり、パスワードを安直にしていたりしていませんか? 大企業ではなくても、人間が原因でハッキングされてしまうことは十分ありえます。年間のサイバー犯罪による被害額が、2021年までには6兆ドル(約655兆円)に登るとまで予測されている中、「安全に違いない」と考えるのは危険です。自衛はしっかりしましょう!


Image: Gizmodo US
Source: Cybersecurity Ventures

Dell Cameron - Gizmodo US[原文1, 2
(Scheme_a)

こちらもおすすめ