過激になるソーシャルエンジニアリングとその対策
ソーシャルエンジニアリングは、インターネットそのものよりも古くからあるハッキング手法です。しかし、最近、ユーザーを騙したり、脅したりして、目的の行動を実行させるために、より洗練された攻撃的な手法を追求する脅威者の傾向が目撃されています。彼らのキャンペーンには説得力があり、図々しく、憂慮すべきものです。本ブログでは、私たちが目にしたり、気づいた手法のいくつかをご紹介し、従業員や組織を守るために使える実践的なアドバイスを提供したいと思います。
まず最初に、システムに侵入しようとする脅威者は、企業で使われる用語に精通し、あなたの隣のデスクにいる人と同じように本物らしく聞こえるよう、時間をかけて研究しています。彼らは社内ツールや用語を熟知し、同僚社員の名前を簡単に口にします。電話の向こう側にいる人は、自分がすべての答えを持っていて、すぐにでもあなたの助けが必要なのだと感じさせる必要があります。そして、ほとんどのソーシャルエンジニアリングの企ては、この「即時性」の感覚を頼りに、あなたの役に立ちたいという気持ちを利用します。
この電話を受ける側の自分を想像してみてください:
「早くこれをやってください、これをインストールしてください、質問している暇はありません、急いでください!」
数分後、あなたはそうするようにプレッシャーをかけられたために、パスワードやログイン、システムへのアクセスを電話の相手に提供します。電話を切った後に、あなたは奇妙な感覚に襲われ、そのやりとり全体で何かがおかしかったという感覚を覚えます。
この点についてアドバイスをする前に、私たちが実際に目にした別のシナリオを振り返ってみましょう。これはビジネスネットワーキングサイトで起きたことです。脅威者のターゲットになった人物の気持ちになってみてください。
まず想像してみてください。雨の日、あなたはLinkedInで現在や過去の同僚が最近どんな仕事をしているかを調べています。サイトを見ていると、以前一緒に働いていた同僚からメッセージが届きます。
「あなたが調査されていると噂で聞きました。私は個人的に、そんなことあり得ない、あなたはとても誠実な人物だからと彼らに伝えましたが、セキュリティチームから連絡があるかもしれないと警告したくて連絡しました。」
あなたはとても混乱しながら、机から椅子を離します。調査?何のために?あなたは数ヶ月前にその会社を辞めています。あなたは記憶をたどり、今メッセージをくれた相手との関係や、いったい何を話しているのか思い出そうとします。すると今度は、あなたが以前働いていた会社のセキュリティ担当者だと名乗る人物から、個人的な受信トレイにメールが届きます。
「お電話いただけますか?お聞きしたいことがあります。」
あなたは怖くなり、心配になり、携帯電話を手に取り、電話をかけます。今、あなたは自分の情報へのアクセスを誰かに渡してしまうという抜け出せない穴の半分以上のところまで来ています。あなたはリンクをクリックし、脅威者とやりとりし、悪い結果を招く道をまっしぐらに進んでいるのです。
上記のシナリオは、実際にある状況であり、悪質な脅威者の間でよく使われているやり方です。ソーシャルエンジニアリングは説得力のある口実を用意しており、当然、あなたは不誠実であると思われたり、言い逃れをしていると思われたくありません。
そして、彼らが使っているツールを考えてみると、NDA.pdfが送られてきたDocuSignを知っていますし、あなたはいつもLinkedInを利用しています。また、GitHubを利用する脅威も知っています。あなたが考慮に入れていないのは、当該の脅威者があなたの前の同僚のアカウントを使って、データ漏洩によって簡単に入手できたユーザー名とパスワードで自身を認証してなりすましたということです。そして、彼らはステップ2に移り、あなたへの接触、彼らの言い分を受け入れるようにあなたの心を誘導し、自身の潔白を晴らす気にさせるようにしたのです。
脅威者はあなたに、これがどこから来たのか、なぜ以前の従業員が第三者を通じてあなたに接触したのか、立ち止まって考える時間を与えません。あなたに立ち止まって質問する時間を与えないことで、彼らはまた緊迫感を作り出しているのです。もちろん、あなたは役に立ちたいので、セキュリティ担当者と話すことに抵抗はありません。あなたは無実だからです!しかし、自分の潔白を証明したいというこの願望が、あなたを守勢に立たせるために周到にでっち上げられた一連の出来事と組み合わさると、あなたにとって、そしてあなたの雇用主にとって、悪い結果しかもたらしません。
では、さらに残酷な搾取方法、あなたの愛する人を脅す方法に目を向けてみましょう。木曜日の正午にあなたのデスクに電話がかかってきて、電話の向こうの声では、あなたのいとこのアリが捕まっていて、言うとおりにしないと大変なことになると言います。あなたは震え上がり、彼らが何を望んでいるのか尋ねます。
「メールで送ったソフトをインストールすれば、すべてうまくいく」。
何度かダブルクリックすると、彼らは電話を切りました。待ってください、いま何が起きたのでしょうか?あなたのいとこは大丈夫ですか?
もちろん、ソーシャルエンジニアリングという考え方自体は新しいものではありません。私たちは過去にもこの種の活動について書いてきたし、従業員さらには従業員の家族に対する広範なメッセージングを目にしてきました。
しかし、現在の状況を見ると、脅威者はその脅威のレベルと主張の親密さの両方を急速にエスカレートさせていることがわかります。少し時間をとって、すでに世の中に出回っているあなたに関する情報の量を考えてみてください。あなたはソーシャルメディアを利用していますか?前述のビジネスネットワーキングサイト?掲示板?事業免許を申請したり、データ漏洩に個人情報が巻き込まれたりしたことはありますか?インターネットを利用する方法は驚くほど多様で、私たちはそれらすべてを利用していますが、そのため、私たちにとって大切なものや、友人や家族との具体的なつながりも複合的に形成するのは簡単なことです。これはまさに、洗練された脅威者がプレッシャーをかけたり、緊急性を植え付けるために利用する情報になります。この緊急性と親密さこそ、今後あなたが意識すべきものです。
では、このようなやりとりを避けるために、あなたやあなたの会社が取ることのできる対策についてお話ししましょう。ここで説明する対策は難しくなく、簡単に導入できます。以下が、ソーシャルエンジニアリングの被害に遭いにくい環境を構築するためにできるステップとなります。
1. 脅威者を予測する
脅威者がサービスまたはITサポートデスクのふりをして行動することを予想し、予測する必要があります。そのため、ヘルプデスクと不特定多数の電話の発信者を区別するために、企業は何ができるでしょうか?従業員は、社内のイントラネットで相手が誰なのかを調べることができるでしょうか?社内のサポートページに記載されている電話番号で、その人に電話をかけ直すように頼むことができるでしょうか?企業によって、従業員が利用できる情報は異なるため、推奨するプロセスも異なりますが、企業は、ITサポートやセキュリティ担当者が従業員に連絡する際に利用できる、定義された確認プロセスを持つべきです。人々が疑心暗鬼になる必要はありませんが、発信者の確認(既知のヘルプデスク番号によるコールバック、組織ディレクトリとの目視照合など)のベストプラクティスとして、「信頼はするが、確認はする」という考え方を持つことで、セキュリティ態勢を改善することができます。
2. 周知の手順を持つ
その上で、セキュリティチームと IT チームが協力して、ユーザーに安全にリモートサポートを提供するための合意されたプロセスと、そのプロセスに従うという揺るぎないコミットメントを持つことが重要です。セキュリティ意識向上プログラムでは、ヘルプデスクやセキュリティ担当者の身元を確認する方法について、ユーザーに伝え、期待値を設定する必要があります。また、全体的にソフトウェアのダウンロードを求めないセキュリティプログラムも検討する価値があります。
3. セキュリティ文化の重要性
セキュリティ意識について言えば、セキュリティチームやサポートチームに質問したユーザーを決して「罰」してはなりません。その代わりに、セキュリティに対する意識と好奇心を高める文化を築き、ユーザーに健全な懐疑心を持たせるようにしましょう。現時点では、脅威者は、疑うことを知らないユーザーを操作して、彼らが利用できる情報を提供させる方法について、完全なスクリプトを含むプレイブックを持っていることが分かっています。このような状況の脅威者は、誰にも質問する暇を与えず、全ての計画を素早く進めたいのです。何が起こっているのか理解できない場合は、物事をスローダウンしても構わないことをユーザーに伝えてください。感情的なものではあるが、誰かがあなたに何かをするよう求めているとき、この状況においてあなたが力を持っているのであって、彼らではないのです。さらに、セキュリティ担当者が日常的なユーザーと会話をしたいと思うように、また、写真や電話番号が社内の仕事用プロファイルに関連付けられていることを奨励すべきです。
4. 全員参加で!
ソーシャルエンジニアリングの試みを報告する従業員を奨励し、報奨を与えてください。従業員はあなたの目となり耳となり、早期警告システムとなります。今日、多くの組織ではフィッシングメールを報告するためのプロセスが定義されていますが、従業員は、今日お話したようなアプローチを報告すべきであり、さらに重要なことは、報告方法を知っていることです。このような試みはできるだけ早く報告されるべきです。そして、このような報告を受けたら、セキュリティチームは社内の関連部署と協力して、このような攻撃的なソーシャルエンジニアリングアプローチが次にどのような独創的な形で現れたとしても、そのプロセスや従業員へのアドバイスが十分なものであるようにしなければなりません。
5. ダウンロードを禁止にする
セキュリティ意識向上プログラムは、エンドポイントにソフトウェアをダウンロードすることに懐疑的なユーザーを作る必要があります。このようなコンセプトを従業員に浸透させることで、すべてが変わる可能性があります。また、もし可能であれば、すべてのリモート管理・監視(RMM)ツールをブロックすることで、サポート/ITチームが使用する限定的なエンドースメント以外の環境を全体的にロックダウンすることを検討してください。
十分に整った環境では、脅威者はより極端なソーシャルエンジニアリングのバリエーションに頼ることになると予想されます。我々は、上記のテーマのバリエーションを常に目にしています。だからこそ、誰からの要請であろうと、どれほど緊急に思われようと、どのように対応するかについて、私たち全員が細心の注意を払う必要があるのです。万能の解決策はありません。会社はそれぞれ異なり、従業員が利用できる情報も異なるため、推奨するプロセスも異なります。大事なことは、ユーザーに意識させることです。なぜならセキュリティ意識の向上は、セキュリティ成果の向上につながる傾向があるからです。