Kevin D. Mitnick(ケビン ミトニック)著 世界的なハッカー、ソーシャルエンジニア。(2003年1月に保護観察完了)
ソーシャルエンジニアリング:普通のよい人を演じ、自分にとって価値のある情報を人を欺いて手に入れるテクニックのこと。
「パスワード窃取(せっしゅ)」「トロイの木馬の仕込み」「FBIへの侵入」など、彼が実践してきたテクニックの一部が物語風に紹介されています。情報セキュリティスペシャリスト試験勉強にはうってつけの読み物です。
今回は、今まで読んでいる中で「パスワード窃取」のソーシャルエンジニアリングを私なりに理解してまとめてみます。
登場人物(原文はアメリカ人ですが私は日本人っぽくやってみました)
佐藤:攻撃者、山口:被害者(新入社員)、田中:人事部、吉田:IT部のエンジニア
《攻撃1》攻撃準備
田中:「はい、人事部の田中です。」
佐藤:「いつもお世話になっています。田中さん、情報保安部の佐藤です。」…情報保安部の職員になりすまして電話
…てきとうに雑談を入れる…(天気のことなど)
田中:「ところで、ご用件は?」
佐藤:「新入社員の情報セキュリティ研修を計画しているので、先月入社した社員の名簿が必要なんです。氏名と内線番号だけ教えてもらえると助かります。」
田中:「今、ちょっと忙しいので、4時ごろならいいですよ。内線番号を教えてください。」
佐藤:「助かります。ありがとう。内線番号は53番です。でも、4時過ぎならまたそのとき電話します。」
4時過ぎに佐藤は電話して目的の情報(氏名と内線番号)を読み上げてもらい、それをメモる。
《攻撃2》本丸攻め
佐藤:「山口さん?こんにちは、私は情報保安部の佐藤と申します。」…入手した内線番号に電話
山口:「はい、総務課の山口です。」
佐藤:「うちの情報保安部の誰かが、あなたにセキュリティのことについて説明したことはありますか。」
山口:「ないと思います。」
佐藤:「それじゃぁ〜、まず第一に、社外から持ち込んだソフトを社内のコンピュータにインストールしてはいけません。それは、ソフトのライセンス違反になることや、ウィルス感染をまねく危険性があるからです。」…しばらく、セキュリティの説明をする
山口:「はい、理解出来ました。」
佐藤:「うちのメールポリシーは知っていますか。」
山口:「いいえ、知りません。」…99%、そんなもの知っているはずがない。ましてや新入社員が
佐藤:「あなたの今のメールアドレスは?」…うまい!メールポリシーを聞いたのでメールアドレスは自然に出てくるキーワード
山口:「mai77@xxx.co.jpです。」
佐藤:「じゃぁ、ログインIDはmai77?」…これも自然に出てきますね。ログインIDは普通メールアドレスが多いので
山口:「いいえ、m_yamaguchiです。」…ログインIDまでおしえちゃってくれて(完全に電話の相手を信用している)
佐藤:「わかりました。では、まず、新入社員のみなさんに理解して頂きたいのですが、知らない相手からの添付ファイルは絶対開かないこと。知っている相手でも内容が不明な添付ファイルにはウィルスが仕込まれているかもしれないので、送信者が本当にその相手なのか確認する必要があります。分かりましたか。」
山口:「それは、知っていました。」
佐藤:「おっ、すばらしいね。よーし、わが社のポリシーとしてパスワードは90日ごと変更しなければいけません。あなたが最後にパスワードを変えたのはいつ?」…さぁいよいよ本丸攻めです
山口:「私は入社してまだ3週目なので、最初のを今でも使っています。」
佐藤:「そうですか。じゃぁそれを90日間使ってください。それから、うちの部は社員が他人から推測されやすいパスワードを使っていないことを確認しなければなりません。たとえばあなたのパスワードは数字とアルファベットの両方が混じっているかな?」…パスワードがもらえる準備万端です
山口:「いいえ。」…いいねぇ。
佐藤:「それはまずい。そのパスワードは変えないといけませんね。今使っているパスワードは何ですか?」…キタッ!
山口:「pochikunです。」…あっさり欲しい情報を出しました
佐藤:「今のままではパスワード強度がかなり低いので、それに数字を追加してください。参考に私のやり方を紹介します。私は現在の月を最後に付けます。たとえば、8月ならpochikun8のように。」
山口:「分かりました。じゃぁそれにします。」
佐藤:「では、パスワードの変更の仕方を教えましょうか。」
山口:「いいえ、それは知っています。」
《攻撃3》後始末 (欲しい物が手に入ったからといって、さっさと電話を切らない。怪しまれるから。)
佐藤:「そう。それでは最後に重要なセキュリティのお話を。あなたのコンピュータにはウィルス対策ソフトはインストールされていますね。その定義ファイルやOSのアップデートはきちんと定期的に実行されていますか。アップデート中コンピュータの動作が遅くなるからと言って、自動アップデートを無効にしてはいけません。コンピュータのセキュリティを常に最新の状態に保つ必要があります。」
山口:「はい、わかりました。」
佐藤:「あなたの理解力は実にすばらしい。もしあなたのコンピュータでなにか問題が起きたら、私の部の電話番号を教えておくから、そこに電話してくださいね。」…アフターフォローもバッチリ
山口:「ありがとうございました。そのときはよろしくお願いします。」…お〜っ、感謝してるやん
…ログインIDとパスワードをゲット。攻撃対象企業への侵入が可能となりました。…このあとはバックドアを仕込んだりトロイの木馬を仕込んだり、好き勝手にできますね。しかも90日間パスワードは有効です。
なんか、オレオレ詐欺?、振り込め詐欺?ほんと、よー考えとう。口がうまかバイ。
攻撃者は言葉巧みに相手の現在の状況を予測して先手先手に攻撃を仕掛けます。相手は完全に攻撃者を信用し、疑いもなく攻撃者の指示に従ってしまいます。もともと人間は知らない相手を疑うより信じるまたは親切にしようとする傾向が強いとミトニックは述べています。
《ミトニックから一言》
私はパスワードを人に教えても良い状況や、教えるべき状況は絶対にないと信じている。だから、パスワードを教えて良い状況を規則化するより、絶対に教えてはいけないとしたほうが簡単で、そのほうが安全である。