人間にまつわるセキュリティを考える本連載。第6回では、建物への侵入や「のぞき見」「ごみあさり」のようなソーシャルエンジニアリングを扱います。つい見逃しがちな“物理的なセキュリティ”について考えましょう。
技術だけでは対処できない「人間のセキュリティ」について考える本連載。第6回となる今回は、「物理的な脅威の侵入」を扱います。情報セキュリティというと、私たちはつい「ネットワーク経由のサイバー攻撃」のようなものを想像しがちですが、情報漏えいなどはいつもネットワークを介して起こるわけではありません。情報通信技術を使わない“物理的な”情報セキュリティについて考えてみましょう。
第3回で、相手の心理的な弱さを狙い、言葉巧みに必要な情報を引き出す方法として、「誘導質問術」を取り上げました。しかし、人をだます手段は言葉だけではありません。「外見」もその1つです。
例えば、ある職業の「制服」を着用することで、その職業に就いているかのようにみせかけられる可能性があります。この例として有名なのは、米国のフランク・ウィリアム・アバグネイル・ジュニア(Frank William Abagnale, Jr.)でしょう。彼をモデルにした映画「Catch Me If You Can」をご存じの方も多いはずです。彼は航空会社に「制服をなくした」と電話をかけ、偽の身分証明書を提示することで、パイロットの制服を手に入れました。そしてパイロットを装って飛行機に搭乗し、多くの国々を移動しました。
私たちの周囲を見渡してみても、多くの業者などがオフィスや学校に出入りしています。果たして彼らは“本物”なのでしょうか? 受け入れる側の組織は、十分な対応を行っているでしょうか? このような質問を企業の方々にすると、「わが社はICカードで認証を行っているから問題ない」といった答えが返ってくることがあります。
しかし、本当にそれだけで十分なのでしょうか。例えば、ICカードを交付している業者の人がカードを忘れたとき、あなたの組織ではどのような対応をしていますか? “ゲスト”などとして簡単に入館を許してはいないでしょうか。これでは、悪意のある人間に容易に侵入されてしまいます。また、正規の入館者のすぐ後ろに付いてゲートなどを通過する「ピギーバック(PiggyBack:共連れ)」のような侵入方法もあります。
入館証などを人間が目視する認証の場合であれば、ネット通販などで手に入る業務用の機器を使うだけで、簡単に人の目をだませるだけの入館証を作成できます。 少ない枚数であれば、IDカード作成キットなども、コンピュータ関連ショップなどで容易に入手できます。
あるいは、守衛(ガードマン)が1人であれば、「1人が守衛に近づき、相手の注意を引くような言動をとっている間に、他の1人がこっそり入る」といった単純な方法でも侵入できてしまうかもしれません(注)。グループで入館する場合であれば、「正規グループの一員を装って侵入する」という方法も考えられます。
人間は1つのことに注意を向けると、他の刺激に対する注意力が低下します。これを心理学では「選択的注意(selective attention)」と呼びます。選択的注意といえば、多くの人々が会話をしているパーティ会場などであっても自分の名前や興味のある話は聞き取ることができる「カクテルパーティ効果(cocktail-party effect)」が有名ですが、これは裏返せば、「注意を向けていない情報は処理できない」ことを意味します。
建物に侵入されるなど、悪意のある人間に近づかれると、さまざまな方法で情報を窃取されてしまう危険性があります。例えば「のぞき見」です。
パスワードなどを入力している人の後ろに立ち、”肩越しに”入力内容を盗み見ることを、「ショルダーハッキング(Shoulder Hacking)」といいます。ただ、筆者自身も実験を行ったことがありますが、セキュリティ関連書籍などでいわれるほど、ショルダーハッキングでユーザーIDやパスワードなどを取得するのは簡単ではありません。
しかしながら、最近のスマートフォンなどは入力内容が画面に表示されますので、それを撮影すれば後でゆっくりと確認することができます。また、ATMや金庫などの暗証番号入力など入力内容が表示されない場合であっても、操作する様子をビデオで撮影すれば、後から“スロー再生”などで入力内容を確認するのは不可能ではありません。
最近のスマートフォンやデジタルカメラは解像度が高くなり、ズーム性能も向上しています。近くで撮影されれば分かるかもしれませんが、空港や駅などの公共の場所で、遠方から撮影された場合はどうでしょう? 「公衆Wi-Fiのリスク」に敏感な人であっても、「遠方からの撮影リスク」は意外と忘れがちなのではないでしょうか。「公共の場での重要情報の取り扱いは危険だ」という認識を常に持っておくことが大切です。
Copyright © ITmedia, Inc. All Rights Reserved.