最高財務責任者マルコム フィッシャーは、ソーシャル エンジニアが彼になりすまし、会社から 125,000 ドル以上を巻き上げるまでは、自分がサイバー犯罪の被害に遭うとは思ってもいませんでした。

社内での重要な地位を考えれば、犯罪者がフィッシャーを重要な標的として特定するのは比較的簡単でした。彼の経歴は会社のウェブサイトで簡単に入手できました。そして、Facebook、Twitter、LinkedIn 上のフィッシャーのソーシャル メディア プロフィールから、彼が勤勉なソーシャル エンジニアの夢のターゲットであることを示すいくつかの情報が明らかになりました。   

フィッシャーはポーカー トーナメントに頻繁に参加し、テーブルでの成功について謙虚に説明しませんでした。彼はラスベガスで開催されるトーナメントへの参加について投稿し、ソーシャル メディア プラットフォーム全体に旅行計画をカタログ化しました。ラスベガスに到着して間もなく、フィッシャーはトーナメント主催者と思われる人物から、更新されたスケジュールへのリンクを提供するテキスト メッセージを受け取りました。彼がリンクをクリックしたとき、何も起こっていないようでした。しかし、彼は知らず知らずのうちに、ソーシャル エンジニアに会社支給のモバイル デバイスへのアクセスを提供しただけでした。

トーナメントが翌朝11時に始まることを知っていた詐欺師は、フィッシャーの電子メールアカウントを乗っ取り、午前11時15分に同僚に緊急メッセージを送信した。フィッシャーが書いたと思われるメールでは、従業員に対し、トーナメントに参加するため数時間連絡が取れなくなる旨を記し、ベンダーに直ちに12万5000ドルを電信送金するよう指示していた。

その従業員は上司の指示に決して疑問を抱かず、すぐに電信送金を処理しました。フィッシャーはトーナメントでの優勝に非常に満足してラスベガスを去ったが、すぐに自分がプレーされたことを知った。  

このシナリオは珍しいことではありません。企業のサイバーセキュリティとデータ侵害の防止にこれまで以上に重点が置かれているため、多くの経営幹部はテクノロジーだけでそのような脅威から十分に保護できると信じています。

しかし、国家、犯罪者、活動家、不誠実な競争相手など、洗練された攻撃者は、ほとんどの組織に見られる最も重大な脆弱性である人的要因を頻繁に標的にします。人間と組織を保護するためのテクノロジーとの間の相互作用は、セキュリティにおける最も弱い部分とよく言われます。

これらの攻撃者が人的要因の脆弱性を悪用するために使用する最も一般的な方法は、ソーシャル エンジニアリングです。実際、 によれば、2018 年ベライゾン データ侵害調査報告書、成功したセキュリティ侵害の 90% 以上は、ソーシャル エンジニアリングの何らかの側面から始まります。 

ソーシャル エンジニアリングとは、組織の内部関係者を巧みに操作して、ソーシャル エンジニアにとって関心のある特定の行動を実行させることです。内部関係者には、組織の従業員だけが含まれるわけではありません。警備員、清掃員、ケータリング会社、自動販売機のストッカー、メンテナンス請負業者などのサービス提供者を含む、対象となる組織に付き添われずにアクセスできるあらゆる人が含まれます。

このプロセスに対する認識と洞察が深まることで、ソーシャル エンジニアリング攻撃のリスクを軽減する良い機会が得られます。    

データの収集

ターゲットに対してあらゆる種類の攻撃を開始する前に、専門のソーシャル エンジニアが時間をかけて利用可能なオープンソース情報を収集します。このような収集はさまざまなリソースから行われますが、最も頻繁に使用される媒体は単純なオンライン調査です。 

ほぼすべての組織が、会社、その製品とサービス、幹部プロフィール、プレス リリース、連絡先情報、および採用情報を掲載した Web サイトを持っています。 

そのようなセクションはすべてソーシャル エンジニアに有益な情報を提供する可能性がありますが、役員プロフィール (多くの場合フルネーム、役職、写真、簡単な略歴が含まれます) は、主要な内部関係者と組織構造のどこに位置するかについてのかなりの洞察を提供します。 

キャリアの機会は、会社の連絡先情報とともに、悪用可能な詳細情報と、ソーシャル エンジニアが組織との直接的または間接的な連絡を求めるポータルを提供します。        

求人情報とレビュー。組織の Web サイトに掲載される場合でも、オンラインの求人掲示板で宣伝される場合でも、求人情報は豊富な情報を提供します。このような投稿では、通常、最低限、応募者が求める基本的な優先 IT 資格が明らかになり、組織が使用するオペレーティング システムやソフトウェア プログラムに関する貴重な洞察が得られます。職務内容からは、地理的または新しい製品やサービスによる組織の拡大の可能性に関する洞察も得られる場合があります。 

求人情報を掲載することで、組織は外部からの人との接触を呼びかけています。これにより、ソーシャル エンジニアは、人事担当者を通じて直接、または履歴書を転送するためにソーシャル エンジニアが選んだ組織内の他の人に、カバーレターや履歴書を電子的に送信する機会が提供されます。電子メールは添付ファイルとともに、ターゲットのシステムにマルウェアを導入する媒体となる可能性があります。

悪用される頻度はそれほど高くありませんが、このような求人情報はソーシャル エンジニアが雇用主と面接し、機密情報を引き出す機会を生み出す可能性もあります。

Glassdoor などの雇用主レビュー サイトでは、従業員が投稿した職場に関する有益な洞察を提供できます。これらのレビューは、組織内の士気に関する脈動をソーシャル エンジニアに知らせます。一般に、不満を持った従業員を操るのは、幸せで雇用主に忠実な従業員よりもはるかに簡単です。 

ソーシャル メディアと検索エンジン。組織は自社の製品やサービスを宣伝するためにソーシャル メディアを積極的に使用することがありますが、予期せぬ結果として悪用可能な情報が漏洩する可能性があります。

従業員は職場で自分自身や同僚の写真をアップロードすることが多く、実際のフロアプラン、オフィス構成、セキュリティ システム ハードウェア、IT システム、従業員バッジ、従業員の服装など、物理的な作業スペースに関する情報が明らかになります。この情報の多くは、企業への実際の物理的侵入を計画する場合に非常に役立ちます。   

ソーシャル エンジニアは、クリエイティブな Google 検索を利用して、組織名に関して浮上した最も人気のあるエントリをはるかに超えて検索することができます。

たとえば、会社名と「pdf」または「機密」という単語を単純かつ創造的に検索すると、従業員マニュアル、福利厚生パッケージ、IT ユーザー ガイド、契約書などの文書が表示される可能性があります。これらの検索により、清掃、ゴミ処理、セキュリティ、ケータリング、派遣社員などのサービスを対象企業から下請けされている企業を特定できます。 

公の法廷記録を検索すると、全国の刑事および民事の法廷文書にアクセスできるようになります。これらの文書には、企業が機密として保持したいと考えていた対象企業や役人に関する業務詳細が含まれることがよくあります。 

インターネットに関するよくある誤解は、企業が企業 Web サイトに以前に掲載していた情報を削除または変更すると、元の情報は利用できなくなるというものです。これは誤りです。

ウェイバック マシンは World Wide Web のデジタル アーカイブであり、ユーザーは 1996 年まで遡って Web ページのアーカイブ バージョンを閲覧できます。組織の新しいセキュリティ責任者が潜在的に機密情報を企業の Web サイトから削除することを決定した場合でも、ソーシャル エンジニアはウェイバック マシンを使用して情報を取得しようとすることができます。 

Google マップなどのサイトは、ソーシャル エンジニアが仮想的に偵察を行うのに役立ちます。ソーシャル エンジニアがターゲットのオフィスへの侵入を開始することを検討している場合、アクセス ポイント、バッジ リーダーやその他のアクセス システムを含むアクセス コントロール、監視カメラ、警備員についてできるだけ多くのことを学びたいと思うでしょう。

ソーシャル エンジニアは、地図を使用して、従業員が頻繁に出入りする可能性のある対象の場所の近くの企業を特定し、慣らし運転を調整することもできます。その結果、従業員と 1 回だけカジュアルな会話をして、オープンソースでは入手できない情報を注意深く収集することができます。また、将来のインサイダー情報源として使用できる従業員を育成する機会になる可能性もあります。

偵察の 2 番目の潜在的な目的は、花屋やレストランなど、ターゲットのオフィスに配達を行う付近の場所を特定することです。この情報を入手したソーシャル エンジニアは、配達を行う誰かになりすまして敷地内に護衛なしでアクセスすることを決定する可能性があります。

内部関係者。ソーシャル エンジニアは、組織に関する情報を収集するだけでなく、これらの組織の内部関係者もターゲットにしています。中規模から大規模の組織には文字通り数千人の従業員がいる可能性がありますが、ソーシャル エンジニアは 1 人以上の適切な立場の個人に関する有用なデータを収集するだけで済みます。

彼または彼女は、標的となった内部関係者の個人的および職業的背景、および彼らの動機について可能な限り知りたいと思うでしょう。この情報を入手すれば、ソーシャル エンジニアはそれらをより適切に操作できるようになります。 

インサイダーに関するデータ収集の最も一般的な開始点は、ソーシャル メディア サイトです。 3.3 を超えるサイトが集まっているそのようなサイトは何百もありますが、数十億人のユーザーがいるソーシャル エンジニアは通常、最も豊富な情報を提供するサイトを使用します。  

Facebook を使用すると、標的となった内部関係者の写真とその連絡先ネットワークを見つけることができます。ここでは、ターゲットの居住地、年齢と生年月日、出身校、趣味や興味、過去と将来の旅行計画を知ることができます。プライバシー設定を制定する可能性のあるターゲットに直面した場合、機知に富んだソーシャル エンジニアは、そのようなプライバシー設定を欠いている可能性のあるターゲットの配偶者や子供のアカウントに目を向けます。    

Twitter は、ターゲットがどこにいるのか、その瞬間に何をしているのかをリアルタイムで提供できます。そして、LinkedIn では、ソーシャル エンジニアはターゲットの職業、学業、仕事のプロフィールを学びます。専門的な関心。と連絡先のネットワーク。

ターゲットの操作

ソーシャル エンジニアは 4 種類の攻撃ベクトルを使用して、企業を騙して金銭、知的財産、データを搾取します。

フィッシング。現在、フィッシングはすべてのソーシャル エンジニアリング攻撃の 90% 以上を占めています。これには、受信者にリンクをクリックするか、電子メールに埋め込まれた添付ファイルを開くよう要求する典型的なスパム メールが含まれます。これにより、IT ネットワーク全体ではないにしても、受信者のコンピュータを侵害する可能性のある悪意のあるツールのダウンロードにつながる可能性があります。

このような電子メールは特定の人をターゲットにしたものではなく、文字通り何千人もの人が送信しますが、リンクをクリックした受信者の被害者のほんの一部であっても、送信者に実行可能な投資収益率をもたらす可能性があります。

プロのソーシャル エンジニアは、データ収集から以前に収集した情報を活用して、メールを特定のターゲットに効果的に調整するスピア フィッシングを使用します。これにより、選択したターゲットがリンクをクリックしたり、添付ファイルを開いたりする可能性が大幅に高まります。

もう 1 つのバリエーションには、ソーシャル エンジニアが架空の LinkedIn アカウントを作成し、特定の問題についてターゲットと関わることが含まれます。ターゲットが未知の個人からの招待を受け入れない傾向がある場合、ソーシャル エンジニアはまずターゲットの同僚を接続に招待します。そして、ターゲットは、同業他社の何人かがすでにこの架空のプロフィールに関係していることを確認すると、おそらく受け入れるでしょう。

リンクに成功すると、ソーシャル エンジニアはターゲットと数通のメールを交換し、その結果、マルウェアを含むリンクまたは添付ファイルをホストするメールが送信されます。これまでのやり取りで信頼関係が構築されている可能性が高いため、ターゲットは攻撃に対して脆弱になる可能性があります。    

スミッシング。この手法はフィッシングに似ていますが、攻撃を行う手段として電子メールを使用する代わりに、ソーシャル エンジニアはテキスト メッセージ経由でリンクまたは添付ファイルを送信します。結果は同じです。スミッシングはフィッシングと比べてまだ一般的ではありませんが、高い開封率により SMS への移行がますます進んでいるマス マーケティングのトレンドを反映し始めると予想されています。 

ビッシング。プロのソーシャル エンジニアにとって、訪問は楽しくて爽快な場合があります。ビッシングはもう少しスキルが必要ですが、通常、前述のテクニックよりもはるかに効果的です。ここでソーシャル エンジニアは、いくつかの策略や口実のいずれかを使用してターゲットに電話をかけます。信頼性を高めるために、ソーシャル エンジニアは通話を偽装し、受信側に表示される発信者 ID を操作します。 

ソーシャル エンジニアが、シカゴに本社を置く対象企業の新製品のステータスに関する保護された情報を収集したいとします。ソーシャル エンジニアは、会社の運営担当副社長の新しいアシスタントを装い、ロサンゼルスにある対象企業の研究所の 1 つの運営マネージャーに電話をかけます。

信頼性を高めるために、ソーシャル エンジニアは通話をなりすまし、電話番号が副大統領のシカゴ オフィスからのものであるかのように見せかけます。同氏は、副大統領が間もなく開催される会議に向けて最終準備を進めており、製品の発売日と予算額と比較した支出について早急に最新情報を必要としていると述べた。このリクエストは本当に権威ある立場にある人からのものであるようであり、緊急性も兼ね備えているため、ソーシャル エンジニアは成功する可能性が高いです。

直接侵入。4 つの手法の中で最も実行が難しいと考えられていますが、通常はこれが最も成功します。これには、ターゲットとの対面の対話が含まれます。

ソーシャル エンジニアは、建物内で約束をしている人、IT サポート、調査を行っている消防検査官、契約サービス プロバイダーのメンバーを装うなど、さまざまな口実からこの連絡を試みることができます。

ソーシャル エンジニアは、受取人の署名を必要とする荷物の配達を行う人物を簡単に装うことができ、FedEx や UPS の制服をオンラインで購入することさえできました。ソーシャル エンジニアは、標的施設の近くで特定された場所を確認した後、花、事務用品、ファーストフードの配達を行う人物を装うこともできます。

付き添いなしで施設内に入ると、ソーシャル エンジニアは会議室やキーボード ロガーに盗聴装置を設置して、ネットワーク ユーザー名やパスワードなどの特定の情報を収集する場合があります。

ソーシャル エンジニアにとって、「給与計算機密」とマークされたいくつかのサムドライブを敷地内に置いておくのはどれほど難しいでしょうか?人間の好奇心の性質に賭けて、ソーシャル エンジニアは、従業員の少なくとも 1 人がドライブの 1 つを見つけてコンピュータに挿入し、社内の他の従業員がどのような報酬を受けているかを確認することを期待しました。そうすることで、ソーシャル エンジニアは悪意のあるファイルのアップロードに成功し、ネットワークを侵害する可能性があります。 

もう一つの成功した策略には、幹部採用担当者を装ったソーシャル エンジニアが含まれています。特定のクライアントの名前を明らかにする必要なく、「採用担当者」はターゲットの内部関係者に直接連絡を取り、LinkedIn で見られるインサイダーの職業的経歴に感銘を受け、ターゲットが彼らが就こうとしている魅力的なポジションの優れた候補者である可能性があると信じていると伝えることができます。

失うものは何もないと感じているターゲットは、ソーシャル エンジニアに電話や個人的な面談中に、ターゲット自身の背景や現在および過去の雇用主に関する機密情報に関する重要な情報を引き出すことを頻繁に許します。     

影響力のあるテクニック

おそらく、人間をソーシャル エンジニアリングの策略に対して非常に脆弱にする主な性格の特徴は、たとえ知らない人であっても、すべての人を盲目的に信頼する傾向です。この盲目的な信頼は、組織のセキュリティ体制にとって致命的となる可能性があります。この信頼により、ソーシャル エンジニアは被害者に、なりすました相手が誰であるかを簡単に納得させることができます。 

信頼を活用することに加えて、プロのソーシャル エンジニアは、影響力を与えるテクニックをあらゆる方法で活用します。被害者は、感じが良いと思う人を支援する可能性が高いため、ソーシャル エンジニアは、要求を行う前に強い個人的な関係を築こうとします。同様に、ソーシャル エンジニアが被害者に対して重要な礼儀や親切な行為を行った場合、ターゲットは多くの場合、ソーシャル エンジニアのために行為を行うことで報いるという強い義務感を感じるでしょう。 

被害者は、その要請が権力者からのものであると信じている場合、またはソーシャルエンジニアが支援を拒否すると他の人から社会的に受け入れられないと思われることをほのめかして対象者に圧力をかけた場合、従う可能性が高くなります。もう 1 つの戦術には、ソーシャル エンジニアが、被害者が最初は従うのが信じられないと思われるものを要求することが含まれます。その後、被害者は途中で会っていると思われるソーシャル エンジニアからの要求に従うことに同意します。

ソーシャルエンジニアはまた、希少性の認識を利用して、被害者にとっての機会の窓が閉まろうとしていると認識されているときに、被害者に迅速な決定を下すよう圧力をかけることもあります。 

攻撃の軽減

組織が被害を受けるリスクを大幅に軽減できる基本的な対策があります。

まず、オンラインで見つかる組織に関する不要だが悪用可能なデータの量を最小限に抑える必要があります。従業員が組織に関してオンラインに投稿できるものについて明確なポリシーを確立することに加えて、コンプライアンスを確保するために主要なサイトを定期的にスキャンする責任者が必要です。ソーシャル エンジニアが利用できるデータが増えれば増えるほど、その組織がターゲットのリストに載る可能性が高くなります。

強制力はありませんが、ソーシャルメディアに投稿する個人情報に関して、組織の従業員の間でもこれと同じ慣行が奨励されるべきです。      

2 番目の対策は、組織内でソーシャル エンジニアリングの意識向上トレーニングを確立することです。このようなトレーニングにより、従業員は潜在的なソーシャル エンジニアリング攻撃と、どのような具体的な行動をとるべきかを認識できるようになります。

職場で潜在的なソーシャル エンジニアの危険信号としては、発信者がコールバック番号の提供を拒否したり、異常な要求をしたり、質問されたときに不快感を示したりすることが考えられます。従業員は、電話をかけてきた人が権威を主張したり、緊急性を強調したり、従業員が行動しなければマイナスの結果が生じると脅したりする場合にも注意する必要があります。また、発信者が悪口を言ったり、いちゃついたり、褒めたりする場合も危険信号である可能性があります。

警告を受けたら、従業員はどのような行動をとるべきかを知る必要があります。ソーシャル エンジニアの要求に従わないだけでは十分ではありません。組織は、従業員がインシデントレポートを通じてそのような攻撃をセキュリティ担当者に即座に通知できるシステムを整備する必要があります。 

従業員はこの種のトレーニングを定期的に、理想的には毎年受ける必要があります。本当に効果を発揮するには、トレーニングにソーシャル エンジニアリング侵入テストを伴う必要があります。これは、組織のセキュリティを侵害するために脅威アクターが使用する潜在的な策略を模倣するものです。

ソーシャル エンジニアリングの啓発キャンペーンを実施することで、従業員はそのような脅威に常に警戒し、適切な行動をとり、それによって既存の脆弱性を軽減します。

電子メール、テキストメッセージ、電話、直接のいずれであっても、すべてのやり取りにおいて、従業員はまず、その相手が本人であること、および正当な要求であることを確認する必要があります。このスローガンを忘れないでください。信頼する前に検証してください。

 

CPP の Peter Warmka は、戦略的リスク管理のビジネス インテリジェンス ディレクターであり、ウェブスター大学のサイバーセキュリティ修士プログラムの非常勤教授です。彼は業界団体や資産管理顧問会社のカンファレンスでソーシャル エンジニアリングの脅威について頻繁に講演しています。ワームカは カジノサイト インターナショナルのメンバーです。