もくじ
いよいよCEH(認定ホワイトハッカー)資格講座が始まりました。
第1回の受講を終え、今回は身近な「ソーシャルエンジニアリングの恐怖」について簡単にまとめました。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとはコンピュータウィルスやスパイウェアを使用しない方法でパスワード等の重要情報を情報通信技術を使用せずに盗み出す方法です。
ここでは人ベース(人的交流を通じての機密情報収集)のアプローチをいくつか挙げてみます。
ショルダーハッキング
盗み見。
肩越しにモニターを盗み見てID等を入手すること
ATMで後方確認用のミラーが設置されたのは、このショルダーハッキングを防止するため。
ダンプスターダイビング
ゴミ漁り。
事前の情報収集として、ネットワークに侵入するために、ゴミ箱に捨てられた資料からIPやパスワード等を探し出す。
テイルゲーティング
共連れ。
偽のIDカードを付けた人が、権限のある人に続いてキーアクセスが必要なドアを通り抜ける。
なりすまし
電話等により、ターゲットに成りすます。
エンドユーザーのふりをしてヘルプデスク等に問い合わせる。
対策
300人規模のオフィスでは厳密なゲートがない場合も多く
知らない人物が居室内に存在していても、気を留めない場合が殆どです。
そのため
1.テイルゲーティングによりオフィスに侵入
2.デスク・メモ・ゴミ箱からID情報やヘルプデスク問い合わせ先を入手
3.従業員になりすまして問い合わせを行い、対象IDのパスワード初期化を依頼
(複数回入力ミスをして、ロックしてしまった等理由付けを行う。)
4.ワイヤーロックのかかっていない端末から社内ネットワークに侵入。
といったことも行えてしまうのではないでしょうか。
これらの対策としては、
・各従業員への教育(セキュリティーポリシーの施策)
・厳密な入室管理(生体認証等)
・ゴミ箱を監視範囲内に移動(監視カメラ・マイクロカット方式のシュレッダー導入)
などが考えられます。
セキュリティ被害と聞くと何か最新の技術を使っているように思えますが
こんなに原始的な手法もあるんですね。
ちょっとした油断が大きな損害に繋がりかねません。
まずは相手の攻撃を知ることが被害を防ぐ一歩になります。
最後に
昨今ではインターネットが導入されている会社が殆どですが、セキュリティという観点での整備がまだ行き届いてないこの頃です。
まだ日本では馴染みのない資格ですが、攻撃者目線での講座を通して、攻撃に至るまでのプロセスや、今まで気づかなかった新しい視点でのセキュリティを学習していきたいと思います。
