カジノサイト
高価値の標的に対するデジタル脅威は物理的なセキュリティ リスクを引き起こす
今日のタブロイド紙の熱狂の時代において、有名人の出来事が衝撃的なものになることは稀です。しかし、2016年10月に報道機関が、パリにあるキム・カーダシアン・ウェストのホテルの部屋に泥棒のグループが侵入し、彼女を縛り上げ猿ぐつわをして数百万ドル相当の宝石を盗んだと報道したときのことだった。
強盗たちがホテル・ド・プルタレスから自転車で逃走した後、カーダシアン・ウェストは解放されることができた。彼女は同じくホテルに滞在していたスタイリストのシモーヌ・アルーシュを探し出し、現場に急行した当局に連絡した。
数か月後の2017年1月、警察は強盗に関与した疑いで首謀者アオマール・アイト・ケダシュを含む10人を逮捕した。 とのインタビューでルモンド、カーダシアン・ウェストがジュエリーコレクションの写真とファッションウィークのためのパリ旅行の最新情報をソーシャルメディアに投稿した後、強盗団がカーダシアン・ウェストを狙ったとケダシュは説明した。
「宝石はインターネットで公開されており、[彼女は]偽物は着ていないと言いました…フランスに到着するときは、インターネットを見るだけで、すべてを、まったくすべてを知っていました」とケダシュさんは語った。
この情報と、カーダシアン・ウェストさんの家族や一緒に旅行していた友人に関連するソーシャルメディアアカウントのデータを利用して、窃盗団は襲撃に最適な時間を判断することができた。それは、ボディガードに妹たちと一緒に夜のクラブに行くように告げた後、彼女が一人でホテルにいたときである。
カーダシアン・ウェストは後にエレン・デジェネレス・ショーへの出演で、パリで彼女を強盗するまで泥棒たちがほぼ2年間彼女のオンライン活動を追跡していたことを認めた。この事件により、彼女はセキュリティに対するアプローチを変えることになりました。
「ドアの外に警備員が立つ必要があるとは思ってもいませんでした」と彼女は言いました。 「私はたくさんの宝石を持っていましたが、よく考えてみると、旅行中はドアの外に 24 時間 365 日警備員がいるはずでしたが、そうではありませんでした。今では、夜眠るためだけにいくつか持っています。」
この強盗事件をきっかけに、カーダシアン・ウェストさんはソーシャルメディアを短期間休止することになった。また、強盗事件を受けて彼女のソーシャルメディアの使い方も変わり、その場所を離れるまで自分の居場所について投稿するのを待つなどの変化があった。
「何かビデオに撮りたい場合は、保存して、帰るときに投稿します」と彼女は、強盗事件とソーシャルメディア復帰後のアレック・ボールドウィンのトークショーでのインタビューで語った。
カーダシアン・ウェストの強盗は特殊でしたが、誰かのデジタルセキュリティを侵害して個人や組織に物理的な脅威を与えるという脅威は特殊ではありません。実際、この脆弱性そのものが増加傾向にあると、サイバーセキュリティ企業 Cypient Black の CEO 兼創設者である Nate Lesser 氏は述べています。
「攻撃者は、時間の使い方に対して私たち全員と同じような費用対効果のアプローチをとります」と彼は説明します。 「ハッカーについて私たちが広く知っていることの 1 つは、彼らは変化が非常に上手であるということです。そのため、ハッカーは企業アプローチから、その企業の幹部に対する標的型の個人攻撃に移行するでしょう。そして、それはかなり定期的に起こります…攻撃ははるかに簡単でよりソフトな標的となり、同様の影響を与える可能性があります。」
中サイバー攻撃から経営陣を守ることに関する最近のレポートで、Cypient Black は、企業のデバイス、ネットワーク、情報に対する従来の企業攻撃の増加と、拡張企業 (クラウド プロバイダーやベンダーなどのサードパーティ プロバイダー) に対する攻撃の増加に伴い、第 3 の攻撃領域も増加していることを発見しましたが、多くの場合、企業の予算では対処できません。それは、エンタープライズ リスクのもつれです。
「巻き込まれたエンタープライズ リスクとは、企業幹部の個人のデジタル ライフやその他の高価値ターゲット (HVT) に対する標的型攻撃によって企業が負うリスクです。」と報告書は述べています。 「これらの HVT には、上級幹部、取締役、幹部補佐、およびその家族が含まれることがよくあります。このような攻撃は、企業の運営資産に絡む個人のサイバーセキュリティの側面を標的としています。」
Cypient Black は、分析に基づいて、悪意のある攻撃者が HVT をターゲットにするために使用する 2 種類の攻撃、ピボット攻撃とエンドゲーム攻撃を特定しました。
ピボット攻撃は、HVT が使用する各組織の管理下にないデバイスやネットワーク (個人のスマートフォンやラップトップなど) の脆弱性を利用して企業にアクセスします。
「彼らは、上級リーダーが企業の機密情報に幅広くアクセスでき、常に移動しており、必然的に企業ネットワークに接続する個人のデバイスを所有しているという事実を利用します。」
ピボット攻撃では、偵察や情報収集のために HVT の個人用デバイスへのアクセスも使用されます。これらの攻撃によって収集された情報は、ソーシャル エンジニアリングやビジネス メール侵害キャンペーンの実施に使用されます (参照:セキュリティ管理、2019 年 2 月)。
たとえば、レッサー氏は、サイバーセキュリティ コミュニティでは、ほとんどの個人が企業アカウントにログインするために個人アカウントのユーザー名とパスワードを再利用しているというのが一般的な考えだと述べています。
「オンラインで靴を注文するときに使用しているのと同じパスワードを使用して企業システムにアクセスすると、靴を購入する Web サイトが侵害され、そのパスワードが外部に出回った場合、ユーザー名とパスワードを関連付けることは簡単です。通常は電子メール アドレスとパスワードであるためです。」と彼は説明します。 「そうすると、それにアクセスできる攻撃者は、あなたが働いている会社を試して、『このパスワードはその会社で使えるのか?』と言うことができます。」
一方、エンドゲーム攻撃は、HVT の個人的なデジタル ライフへのアクセスを利用して、企業データを入手したり、HVT が所属する組織に損害を与える手段として HVT に損害を与えたりします。
これが実際に起こった一例は、自動車メーカーが労働争議の最中にあったときです。 CEOの娘がレストランで昼食をとろうとしたところ、オンラインで位置情報を公開していなかったにもかかわらず、抗議活動参加者たちが外に現れた。その後、彼女のスマートフォンを分析したところ、悪意のある追跡ソフトウェアが搭載されていることが判明しました。
「これは企業から 2 段階離れた個人デバイスに対する標的型ハッキングですが、その影響は企業にも及んでいました」とレッサー氏は言います。 「明らかに、彼女は怖がりました。彼女の父親も怖くなり、途中であった交渉は完全に頓挫しました。CEO の娘のデバイスへの攻撃により、会社に数百万ドルの影響が出ると話しています。」
この戦術は恐怖を植え付け、目の前の業務から注意をそらすことに成功しましたが、同様の攻撃により HVT の恐喝や誘拐が可能になる可能性があります。
これらの攻撃に使用されるベクトルは、需要やプライバシーへの懸念に応えることができないため、組織によってしばしば見落とされているとレッサー氏は言います。
「ほとんどの大企業は、自社の資産、IT インフラストラクチャ、および役員や従業員に提供しているデバイスを全面的に保護することにうまく取り組んでいます。」と彼は付け加えました。 「プライバシー上の懸念から彼らがまったくやっていないのは、経営陣とその家族の個人的なサイバーセキュリティを保護することです。」
しかし、最高セキュリティ責任者が、HVT に対するデジタル脅威が組織のセキュリティにどのような影響を与える可能性があるか、また、幹部保護専門家 (EPP) がスキル セットを追加したり、他の組織と連携してスキル セットを提供することで、これらの脅威にどのように対処できるかをより認識するようになり、状況は変わりつつある可能性があります。
EPP はサイバー専門家であることを期待すべきではありませんが、旅行中やビジネス中に保護対象者がさらされる可能性のある傾向と潜在的な攻撃ベクトルを認識している必要があります。
「日常的な人間中心の単純な脆弱性こそが、POS システムでの支払いやデジタル サービスによるサイバー慣行などの単純な点で役員保護の専門家が実際に差別化できるところです」と、EPP 企業とその雇用組織にこれらの脅威に関するコンサルティング サービスを提供する Sentinel Resource Group LLC の CEO、ウェスリー ブル氏は述べています。
まず、EPP は、保護対象者と、保護対象者がデジタル世界で接触する、物理的セキュリティに影響を与える可能性のある脅威、リスク、脆弱性のリスク評価を実施する必要があります。評価では、校長が在宅時にデジタルにさらされることも考慮する必要があります。
Sentinel の顧客の多くはシリコン バレーに拠点を置き、米国やヨーロッパの他の地域の個人よりもデジタル アシスタントや自動化への依存度がはるかに高くなります。
「EPP として入社する場合、住宅環境を保護する方法をどのように考えるかだけでも、校長は技術統合のレベルに慣れている可能性があるため、非常に複雑なプロセスになります。」と Bull 氏は付け加えました。 「その環境で運用する EPP は、家庭の相互接続性を考慮して、脅威、リスク、脆弱性について異なる認識レベルを持つ必要があります。」
たとえば、被保護者は Amazon Alexa や Google Home デバイスなどのデジタル アシスタントを所有している可能性があり、これらが侵害された場合、家庭内でのプライベートな会話を盗聴するために使用される可能性があります。これらの会話は、保護対象者を脅迫して補償金を支払わせたり、侵害情報の公開を防ぐために会社に損害を与える可能性のあるビジネス上の措置を講じたりするために利用される可能性があります。
リスク評価を通じて得られた情報に基づいて、EPP はリスクを軽減するためにどのような保護と防御を導入すべきかを決定し始めることができます。
たとえば、ブル氏は、個人アカウントの強力なパスワードの作成、取引にデジタル ウォレットを使用するメリットとデメリット、個人デバイスでのアクセス制御、公共 Wi-Fi の代わりに仮想プライベート ネットワークを使用するなど、被保護者に対する一般的なサイバーセキュリティの習慣について話し合うことから始めることを推奨しています。
「保護対象者が海外旅行者の場合、事態はさらに複雑になります」とブル氏は言う。 「彼らは、サイバー環境に寛容ではない中国のような国、つまり幹部が多大な業務を行っており、政府が電気通信システムを所有している多くの外国に行くのでしょうか?もしそうなら、たとえネットワーク環境であっても、あらゆる形式の Wi-Fi を使用すると、携帯電話やデジタル資産が侵入にさらされる可能性があります。」
保護対象者がカバーすべきもう 1 つの重要な分野は、ソーシャル メディアと、保護対象者 (および保護対象者に関係する個人) が共有する情報がセキュリティにどのように影響を及ぼす可能性があるかです。
「多くの場合、幹部自身が説明を受けており、個人のセキュリティについての意識が高まっていることが多いため、ソーシャル メディアに何を投稿するのか、いつソーシャル メディアに投稿するのかをより熟考することができます。妥協の弱者は実際には家族から来る可能性があります。」とブル氏は説明します。
このリスクを軽減するために、EPP は保護対象者やその友人や家族と投稿に関するベスト プラクティスについて話し合う必要があるとブル氏は述べています。これには、カーダシアン・ウェストが現在行っているように、会場を出るまで位置情報の投稿を待つことや、プライバシー設定を利用してアカウントへのアクセスを制限することが含まれる可能性があります。
最後に、サイバーセキュリティと IT スタッフが、潜在的なデジタル侵害について、保護対象者と物理的に一緒にいる EPP と通信する方法を備えていることが重要です。この通信チャネルを整備することで、EPP は保護対象者の個人スマートフォン上の悪意のある追跡アプリなどの脅威に即座に対処できるようになります。
さまざまなセキュリティ分野間の「相乗効果と統合の欠如」が「特定の個人を中心とした保護責任と調整の失敗点になる場合があります」とブル氏は言います。
