人間にまつわるセキュリティを考える本連載。第3回のテーマは「誘導質問術」です。ソーシャルエンジニアリングの一種であり、「振り込め詐欺」のような犯罪にも悪用されるこの技術に、人はどうして引っ掛かってしまうのでしょうか。「人間の脆弱性」について考えます。
2015年に大きな話題となった日本年金機構の大量情報漏えい事件では、マルウェアを添付した「標的型メール攻撃」が行われました。この攻撃は、“それらしい”添付ファイルを思わず開いてしまうという人間の心理的な隙を突き、対象のPCをマルウェアに感染させることで情報窃取を行うものでした。しかし、メールもマルウェアもなしに、“電話一本で”個人情報が漏えいしてしまうケースもあるのをご存じでしょうか。
2012年、神奈川県逗子市で1件のストーカー殺人事件が発生しました。この事件では、ある調査会社の人間が、“電話”を使って手に入れた被害者の住所を犯人に提供したといわれています。報道資料などによれば、調査会社の人間は被害女性の夫を装い、逗子市役所宛てに「家内の税金の支払いの請求が来ているが、住所が間違っていないか」などと電話で質問をした上で、市職員に不正にコンピュータを操作させ、被害者の住所を得たそうです。
この電話の中で実際にどのようなやりとりが行われたのかは明らかにされていませんが、筆者はソーシャルエンジニアリングの一種である「誘導質問術」が悪用されたのではないかと考えています。本稿では、情報の窃取に用いられるこうした誘導質問術について考えたいと思います。
「誘導質問術」という言葉をご存じの方はあまり多くないかもしれません。米国連邦捜査局(FBI)は、その概要について、以下のような説明をしています。
「誘導質問術は、情報を慎重に収集するために用いられる技術で、特定の目的、すなわち容易に入手できない情報を、そうと悟られずに収集する目的で行われるもの。(中略)対面でも、電話でも、書面でも行われ得る。高度な質問者にかかると、誘導質問術はまるで通常の社交的な会話や専門的な会話のように感じられるため、ターゲットは誘導質問の対象になっていることや、重要な情報を提供してしまっていることに全く気が付かない」(参考資料)。
もう20年以上前の話になりますが、筆者は、実際に誘導質問術が行われた場面にいた(聞いた)ことがあります。1994年11月に開催されたCSI(Computer Security Institute)の年次カンファレンスで夜間に開催された特別セッション、「Meet the Enemy」でのことです。
このセッションは、攻撃技術に通じた人と複数のセキュリティ関係者とが電話会議を行うというものだったのですが、その途中、ごくごく自然な会話の中で、自身のユーザーIDとパスワードを攻撃者に明かしてしまった人がいました。会話の詳細を記憶していないのが残念なのですが、この会話中、攻撃者は非常にリラックスした様子で、相手もごく自然に会話をしていたことを覚えています。この2人の会話を聞いていた約80人の来場者(セキュリティ関係者)は、ユーザーIDとパスワードを聞き出した攻撃者の巧みな会話術(誘導質問術)に、思わず拍手喝采でした。
Copyright © ITmedia, Inc. All Rights Reserved.