ミトニック氏が教えるセキュリティ対策法

2004/10/1

 ファイアウォールやアンチウイルス、それにIDS(不正侵入検知システム)やIPS(不正侵入予防システム)と、ITセキュリティ技術は徐々にそのテリトリを拡大し、精度を上げる。が、技術(だけ)では対処できない攻撃がある。しかも、高い成功率を誇るというから、無視はできない。ソーシャルエンジニアリングといわれる攻撃手法だ。

ケビン・ミトニック氏は元ハッカー。1995年には不正侵入で有罪判決を下されたこともある。モトローラ社員を説得しただけあり、スピーチは絶妙だった。著書として『The Art of Deception』(邦題は『欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法』。ソフトバンクパブリッシング刊)がある

 ソーシャルエンジニアリングをはじめ、ハッキングに詳しいケビン・ミトニック(Kevin Mitnick)氏が9月28日(現地時間)、仏・パリで開催されたIDCのイベント「IDC The European IT Forum 2004」で講演を行った。元ハッカーでもあるミトニック氏は現在、共同設立したDefensive Thinkingというコンサルティング会社でCEOを務めている、ウィットに富んだ口調でソーシャルエンジニアリングの脅威、現実、対策について伝授した。

 ソーシャルエンジニアリングとは何か。極端な例を挙げると、ユーザーになりすましてヘルプデスクに電話をし、「パスワードを忘れた」と話したとしよう。担当者があっけなくパスワードを明かしてしえば、ソーシャルエンジニアリングを用いた攻撃が成功したことになる。いくらパスワードを厳重に管理しても、これでは意味がない。しかもこの場合、攻撃者は特別なスキルを何も使っていない。ミトニック氏は、ソーシャルエンジニアリングとは、「影響を与える、だます、それに心理操作を用いて、無意識の人を要求に従うよう説得するハッキング手法」と定義する。

 ソーシャルエンジニアリングは古典的な手法といえるが、実は着実に増加しているという。どうして攻撃者はソーシャルエンジニアリングを用いるのか。ミトニック氏はその理由を、「システムを攻撃するよりも容易で、コストが低く(フリーダイヤルを用いることが多い)、リスクも低く、あらゆるOSで実行可能で、ログに残らず、95〜100%の割合で有効」だからだと分析する。この場合、高価かつ最新鋭のセキュリティ技術は何の役にも立たない。むしろ、このようなセキュリティ技術を出し抜いてしまうのがソーシャルエンジニアリングなのだ。

 攻撃内容としては、パスワード窃盗、アカウント作成、悪意あるコードの実行、既存のアカウントに特権を付加、機密情報を送るなど。ミトニック氏は、攻撃者の情報収集についてハッカー時代の自身の経験を交えて話してくれた。

 10年ほど前、モトローラの新しい携帯電話のOSのソースコードを入手したかったミトニック氏は、携帯電話のプロジェクトの担当者だと偽ってモトローラのフリーダイヤルに電話をかけた。何度かのやりとりを経て、担当部署直通の電話番号を入手できた。そこに電話をかけたところ、休暇中だった担当者に代わって応じたモトローラ社員が快くミトニック氏の依頼に応じ、ソースコードをFTPを使って転送することになった。

 これだけでも驚きだが、まだ先がある。担当者はFTPを使ってミトニック氏に転送を試みるが、モトローラのシステムは阻止した。それでこの担当者は、情報システム部に頼んで(セキュリティ対策として講じていたはずの)ブロックを解除してもらい、ミトニック氏は見事にソースコードを入手できたという。

 このように、攻撃者はフリーダイヤルのほか、Webサイトなどでの公開情報、さらにはゴミ箱あさり(米国では合法)、盗聴などありとあらゆる手段を駆使して情報の断片を収集し、攻撃の戦略を練る。

 モトローラの例でも分かるとおり、ソーシャルエンジニアリングを突き詰めて考えると、人間の隙をついた攻撃といえる。「人間は『私は賢い』とか『私にはそんなことは起こらないだろう』という幻想を抱いており、盲目的に他人を信じる傾向、他人を助けたいと思う傾向がある」とミトニック氏。つまり、われわれ人間は穴だらけなのだ。ミトニック氏はこれを、「人間ファイアウォールのセキュリティホール」と形容する。

 われわれがいかに穴だらけかを実証する例として、ミトニック氏はある実験結果を教えてくれた。2004年の春、英国ロンドンのウォータールー駅で無作為に企業に勤務する人に、「チョコレートと引き換えにパスワードを教えてくれ」というと、7割の人が応じたという。ちなみに2003年の春は9割だったという。

 では、このような穴だらけのわれわれが、ソーシャルエンジニアリングから身を守るにはどうすればよいのか。「セキュリティポリシーありきだ」とミトニック氏は断言する。

 だが、ただ単にポリシーやプロシージャを策定するのではなく、スタッフが“こういう場合はどうするんだっけ?”とポリシーを参照させるような工夫が必要という。「ただでさえ、スタッフは職場で時間と作業に追われている。(分厚いポリシー集を配って)ユーザーの負担を重くするのでは意味がない」とミトニック氏。簡素化、参照のしやすさ(たとえばQA形式など)がポイントのようだ。ミトニック氏は「“KISS(Keep It Stupid Simple)メソッド”が参考になる」とアドバイスしている。

 もう1つ、ミトニック氏が挙げた対策が“ペンテスト”(ペンは“penetration”の略)という侵入テストの実行だ。実際にシステムに侵入できるかテストすることで、自社ポリシーが十分かどうかが判断できる。結果次第では、外部の専門家に依頼したり、アウトソースする必要もあるかもしれない。

 戦いの場面で、“敵を知る”とはよくいわれるが、“己を知る”ことも重要なのだと気づかされる。少なくとも、ITセキュリティでは自分のもろさを認めることが第1歩のようだ。

(末岡洋子)

[関連リンク]
IDC The European IT Forum 2004

[関連記事]
情報漏えい事件を解決するフォレンジクス、オラクルが進出 (@ITNews)
ノートPCの社外持ち出し、約半数のビジネスマンが自己判断 (@ITNews)
「秘文」はセキュリティ管理システムに進化する (@ITNews)
個人情報保護法を商機に、サンがセキュリティ新製品 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -