攻撃はまるでレーザービームセキュリティ・ダークナイト(8)(2/3 ページ)

» 2011年12月26日 00時00分 公開

教育を受ければクリックしない? 実験の結果は

 このアプローチの有効性に関して、Trusteer社が「RSA and Epsilon: Research Shows Education Can’t Protect Against New Social Engineering Attacks」という調査結果を報告するエントリを公開している。その内容をかいつまんで説明しよう。

 Trusteer社は、かなりしっかりセキュリティ教育を受けたと判断される100人のユーザーに対して、実害がないという説明の下、詳細な内容を明かさず実験の協力を依頼した。

 実験は、知人がライバル会社に転職したことを知らせる、ソーシャル・ネットワーキング・サービス「LinkedIn」からの通知に偽装したメールを100人に送信し、その中にあるリンクをクリックするかどうかを調べるというものだった。結果は以下のとおりである。

行動 人数
24時間以内にクリック 41人
48時間以内にクリック 52人(24時間以内から+11人)
7日以内にクリック 68人(48時間以内から+16人)
クリックしなかった 32人

 Trusteer社は、クリックしなかった32人に対して、その理由も尋ねた。回答は以下のとおりである。

理由 人数
「そのメールを見ていない」(おそらくスパムフォルダ行き) 16人
「普段からLinkedInの更新メールは読んでいない」 7人
「興味を引かなかったためクリックしなかった」 9人

 この実験の結果から明らかになったことは、十分にセキュリティ教育を受けていると思われる人たちですら、7割近くが7日以内に偽装メールのリンクをクリックしてしまったという事実だ。クリックしなかった3割強の人たちにしても、単に関心がなかっただけで、偽装メールであることを見抜いてクリックしなかった人は誰一人としていなかった。

 このような実験結果を踏まえてなお、教育さえ行っていれば攻撃を防ぐことができると思えるだろうか。訓練を行えば本当に防ぐことができるのだろうか?

 残念ながら答えは「No」だろう。「人」はコンピュータのように0か1かではない。攻撃を防ぐことができる場面もあれば、防げない場面もあるだろう。もし一度は攻撃を防ぐことができても、次も防げるという保証もない。その逆も然りだろう。

 10年近くコンピュータセキュリティに携わっている筆者も、このような攻撃に引っ掛からないといい切れるほどの自信はない。

SNSであまりに容易に手に入る周辺情報

 さらに、いまやソーシャルネットワークサービス(SNS)を利用するだけで、簡単にターゲットの情報が手に入る時代となっている。

 例えば、「アイティメディア」をターゲットとした場合を考えてみよう。Facebookの友達検索を見れば、いろいろな情報が手に入る。

画面2 Facebookの友達検索からさまざまな情報が手に入る 画面2 Facebookの友達検索からさまざまな情報が手に入る

 上図は、勤務先に「アイティメディア」と指定して検索した結果である。これだけで「勤務先」に「アイティメディア」を指定している人をリストアップできる。ここからは「アイティメディア」に勤務しているであろう人を特定できるのはもちろん、

  • 勤務先での職種や所属
  • 勤務先での役割
  • 過去に「アイティメディア」に勤めていた人

といった事柄まで分かる。そして、検索結果から各個人のページに移動すれば、

  • 出身校
  • 好きなスポーツチーム、映画、音楽……などなど

も把握できる。さらに、その人とつながっている人が分かり、その人同士の関係性も見えてくるだろう。

 このようにSNSを利用すれば、いままでならば物理的にその人に近付かなければ知り得なかった情報が手に入る。いや、人との距離が妙に遠いと感じる昨今、それ以上の情報が目の前のコンピュータ画面から入手できる場合もあるだろう。

 その情報を使って、ターゲットとなる企業の関係者にソーシャルエンジニアリングを行ったらどうだろう。あるいは、ターゲットとなる組織に属する人とつながりがあり、なおかつ身近で、セキュリティ意識の低そうな人のアカウントを乗っ取り、その人になりすました上でソーシャルエンジニアリングを行われたらどうだろうか。

 自信を持って「大丈夫!」とはいえないのではないだろうか。つまるところ、人と人とがつながっている上は、「気をつける」以上のことはできないのである。

 さて、あなたの会社には何人の従業員がいるだろうか? その従業員はどのようなつながりを持っているだろうか?

「何か1つ」破られれば負けという不利な戦い

 さて、セキュリティの攻防では、どうやって勝ち負けを判断するだろうか。攻撃する側も防御する側も、ポイントは「何か1つ」である。往々にして、

攻撃する側は「何か1つ」でも破ることができれば「勝ち」
防御する側は「何か1つ」でも破られれば「負け」

となる。そんな状況下で、人が「気を付ける」ように訓練し、それのみで防御することに期待していいとは到底思えない。

The strength of a chain is its weakest link.


という言葉をご存じだろうか。

 セキュリティはしばしば鎖に例えられる。これは、その元となることわざである。「鎖の強度はその環の最も弱いところによって決まる」とでも訳せばよいだろうか。どこか1つでも弱点があれば、環全体の強度が、その弱点と同じ程度に低くなってしまうという意味である。

 であれば、何人にも侵されざる領域を作るかの如く、その鎖を完璧な強度のものにすればよいのだろうか。

 本当に実現可能であれば、それがベストだ。だが現実的に考えて、そんなことは現時点では不可能であることは皆さんお気付きだろう。事故を100%未然に防ぐなどという魔法のようなものはない。当然といえば当然だ。私たち人間には、魔法が使えないのだから。

 とすれば、どうすればよいのか。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。