...

117 国内におけるソーシャル・エンジニアリングの実態調査 The

by user

on
Category: Documents
9

views

Report

Comments

Transcript

117 国内におけるソーシャル・エンジニアリングの実態調査 The
国内におけるソーシャル・エンジニアリングの実態調査
The investigation for real state of affairs of social engineering
山崎 文明
[email protected]
グローバルセキュリティエキスパート株式会社
近年の情報技術の発展に伴い、コンピュータシステムのセキュリティについても認識が高まってきている。
既にネットワーク・システムへの直接的な攻撃については技術対策の必要性について啓蒙が行われているが、
不正アクセスの準備行為としてのソーシャル・エンジニアリング(不正アクセスするのに必要なシステム情
報、アカウント名、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などか
ら聞き出すこと。)については、実態が明らかでなく、対応策や教育などは十分に行われていない。消費者
向け、企業向けを問わずソーシャル・エンジニアリングの実態を調査し、対応策を整える必要があると考え
られる。本研究は、今後ソーシャル・エンジニアリングへの対抗力を強化するための施策を考案する手始め
として、コンピュータシステムへの不正アクセスを補助する手口としてのソーシャル・エンジニアリングに
ついて、現状を把握し、対策等にそなえる基礎情報とすることを目的とした。
tiger team story in the patch entry.
1.はじめに
ソーシャル・エンジニアリング(Social Engineering)とは、
(http://members.tripod.com/~bernz/socenfaq.txt)
従来は日本語では「社会工学」として訳されており、主に
Social Engineering(社会工学): n. クラッカーやソフ
学問の一つとして理解されてきた。辞書には次のような定
トウェアよりもウェットウェア(人の心理・思考)の弱点
義がなされている。
を突くクラッキング技術を持った者の間で用いられる用語
「社会工学」
で、人をだましてパスワードや目的のシステムのセキュリ
人間の社会的行動を科学的に研究して、社会生活上の実
ティーを危うくするような情報を引き出させること。ほし
際問題を解決しようとする学問。たとえば、作業グループ
い情報を持った人に電話をかけ、緊急の用件がある技術者
のリーダーや組み合わせを変えて、生産の能率を高めたり
や同僚のふりをして騙す古典的な詐欺の手口。
する研究など。
(新明解国語辞典:三省堂)
( http://www.members.tripod.com/~ayanamiz/shakai.ht
ml)
一方、インターネットの世界では、クラッカー(悪意を
持ったハッカーの意)による「不正アクセスの手段」とし
犯罪的行為としての「ソーシャル・エンジニアリング」
ての特別な意味として次のような定義が見受けられる。
自体は、人類の歴史の中で不断に行われてきたであろうと
「social engineering」
容易に推測できるが、近年、特に不正アクセスを成功させ
social engineering とは、自分の身分を偽って,パスワ
るための補助的手段としての「ソーシャル・エンジニアリ
ードなどの不正アクセスを行う上で必要な情報を関係者か
ング」が注目される。
ら直接聞き出してしまうクラッキングの 1 つの手口。いわ
本稿では「ソーシャル・エンジニアリング」を不正アク
ば「からめ手」からネットワークを攻める方法。
Social engineering :n. Term used among crackers and
samurai for cracking techniques that rely on weaknesses
in wetware rather than software; the aim is to trick people
into revealing passwords or other information that
セスを成功させるための情報収集を目的とした準備行為に
限定し、はじめにその類型について分類を試み、次にソー
シャル・エンジニアリングという手口に対する企業の認知
度ならびに対策状況について調査を行うこととした。本稿
で取り上げる手口と取り上げない手口について例示する。
compromises a target system's security. Classic scams
(例1)営業を目的として、巧みに特定個人の氏名、電話
include phoning up a mark who has the required
番号、住所等を聞き出す。
information and posing as a field service tech or a fellow
手口はソーシャル・エンジニアリングではあるが、不正
employee with an urgent access problem. See also the
117
アクセスを目的としていないため、本稿では対象外とする。
(例2)コンピュータに侵入するために、巧みにパスワー
2.攻撃手法の分類
ソーシャル・エンジニアリングの手口は、非常に多岐に
ドを聞き出す。
わたっており、しかもそれらが様々な形で組み合わされて
不正アクセスを目的としているため、本稿の対象とする。
行われているのが実態である。しかも、それらが実に巧く、
また、本稿で取り上げるソーシャル・エンジニアリング
臨機応変に適用されることによって、その成功確率が高め
は、人間の行為、行動における弱点、盲点を狙う行為であ
られている。ここでは、前述の定義に該当する今までに確
ることを前提としている。したがって、ソフトウェアのバ
認されているソーシャル・エンジニアリングの様々な手口
グなどによるセキュリティーホールを突いたり、パスワー
を、大まかに分類し、それぞれの分類毎に、個別のテクニ
ド解析を行ったりするなどの、機械的、技術的問題に依存
ックを説明するとともに整理を行う。
するケースや、強行突破のような手段については、本稿で
2.1 トラッシング(Trashing, Dumpster Diving)
は対象外とする。以下にその例を挙げる。
(例3)ソフトウェアのバグを突いてネットワーク内部
ゴミとして廃棄された物の中から、目的の情報を取得す
に侵入する。
る方法の総称。日本では、ゴミ廃棄が無償で行われてきた
ソフトウェアの技術的問題に依存するため、本稿の対象
ことからゴミの廃棄に対する意識が低く、非常にずさんな
外とする。
状態にあるといえる。また、コスト削減やリサイクル活動
ブルートフォースアタックによるパスワード取得
の一環として、片面しか利用していない印刷用紙の裏面を
考えられるパスワードを総当たりして、一致する物を探
再利用することで、情報が漏れるということも起こりうる
すという仕組みであり、しかも実際にはプログラムによる
ため、これもまた非常に危険な行為となっている。
自動処理にて行われるため、本稿の対象外とする。
トラッシングの主な具体例は以下の通りである。
(例4)パスワードを解析する。
(例5)深夜にターゲットの企業のゴミ収集所に行く。
パスワード解析自体は、一般的にはプログラムにて自動
(例6)清掃員になりすまして(あるいは本当に清掃員
処理される為、ソーシャル・エンジニアリングとは言い難
になるか、または本当の清掃員を共犯にする事も考えられ
い。しかしながらパスワードの解析をより効果的に行うた
る。
)内部でゴミをあさる。
めの情報収集にソーシャル・エンジニアリングを行うケー
(例7)少々大がかりではあるが、回収業者になりすま
スは多いと考えられる。したがって、その行為をソーシャ
して(あるいは本当に回収業者になるか、または本当の回
ル・エンジニアリングとするかどうかは、個別の手口につ
収業者を共犯にする事も考えられる。
)ゴミを持ち帰る。
いて判断する必要があると考えられる。
少し変わったところでは、以下のような手口もある。
例えば、システム管理者のパスワードを取得するために、
(例8)いわゆる裏紙をメモ代わりに利用している店舗
名前や生年月日など、システム管理者に関する様々な情報
や窓口に出向き、何らかの口実をつけて、メモをもらう。
(場
を、巧みに聞き出す行為はソーシャル・エンジニアリング
合によっては、自由に使えるようになっている所もあるら
ではあるが、その情報を元に、パスワード解析作業事自体
しい。
)
はソーシャル・エンジニアリングとは見なされない。また、
(例9)飲食店等のレジカウンターで、お客様の名刺を
事前の情報収集は全く行わずに、日本人に良くある名前や、
集めている所に出向き、こっそりと名刺を取り出すか、あ
一般的に使われている用語などを辞書化して、パスワード
るいはのぞき見る。
を解析する手口については、容易に推測可能なパスワード
(例10)オフィスで、使用済みのフロッピーディスク
を設定する人間が必ず居るであろうと言うことが狙い目と
を回収して、再利用をしているところから、未フォーマッ
なっていることから、ソーシャル ・エンジニアリングに非
トのディスクを取り出す。
常に近い。しかしながらパスワードの設定問題は、技術的
(例11)オフィスから排出される、産業廃棄物として
に解決可能であることや、解析行為自体がプログラムの実
のコンピュータ内のハードディスクを回収し、データを読
行だけで済む事から、本稿ではソーシャル・エンジニアリ
む。
ングと見なさないこととする。
3.3
のぞき見
本来、重要な情報が簡単にのぞき見されるような所に露
118
出しているはずは無いのであるが、実際には様々な情報が
ットサービスプロバイダのユーザサポートとユーザの関係
安易に取り扱われている結果、気づかないうちに重要情報
にある。
が漏洩している可能性がある。
(例23)ユーザになりすましてシステム管理者をだま
(例12)ディスプレイ等に張り付けた付箋紙に記入し
す。
てあるパスワードを見る
(例22)と逆の構図であるが、システム管理者は、セ
(例13)パスワードをキーボードに入力している場面
キュリティーに対する意識も比較的高く、だますのは決し
を見る。
て容易ではない。したがって、様々な工夫が必要となって
(例14)キーボードの摩耗状況を観察することでから
くる。以下にその例を挙げる
パスワードの推測を行う。
(例24)初心者ユーザになりすます。
(例15)パスワードを口頭で教えているのを耳にする
エキスパートである管理者からすると、初心者ユーザを
(場合によっては、自ら質問する)
指導する事ほどやっかいな仕事は無い。これを逆手に取っ
(例16)不在時に手帳等をのぞき見る
て、初心者ユーザになりすまして、
「ログインがうまくいか
これらの手口を更に確実なものにするためのテクニック
ない」などと言い、管理者を面倒くさがらせて、手っ取り
として、
早くパスワードを言わせて早く終わらせようと思わせるの
(例17)ビデオカメラを持ってあらゆるシーンを撮影
が、こつである。
し、後にゆっくりとこれらの情報の確認をする。
(例25)他部署の上司になりすます。
等の手口がある。
他部署と言えども、自分より職位が上であれば、逆らい
づらいものである。この心理を利用し、他部署の上司にな
3.2 構内侵入
りすまして、
「ログインがうまくいかない。
」などと、わざ
実際に建物内に侵入する行為を指す。手口としては以下
と威圧的に怒鳴りつける。そのような状況に置かれた場合、
のようなものが挙げられる。
大半のシステム管理者は、
「パスワードは口頭では教えては
(例18)偽装または拾得した ID カードでガードマン
いけない。
」というセキュリティポリシーを最後まで厳格に
のチェックをパスする。
守りきれない。
カードリーダー等の機械的なチェックの場合は、
(例26)女性社員になりすます。
(例19)同伴人の振りをして、他人についていく。
一般的に、男性よりも女性の方が疑われにくい。管理者
(例20)清掃員等になりすます。あるいは本当に清掃
が男性である場合には、男性からの依頼よりも、一層親切
員等になるか、または、清掃員等を共犯にする。
な対応をする可能性が高い。こうした男性管理者の心理的
(例21)何かの用事で訪問したついでに行う。
傾向を利用して、女性社員になりすますと言う手口がある。
女性の声に似せるためボイスチェンジャーのような物を使
内部に侵入できた場合、さらにトラッシング、のぞき見
うか、あるいはメールやチャットのような手段でコンタク
などを行ったり、あるいは、内部のコンピュータ端末から
トをとるなどのテクニックも用いられる。
内部ネットワークに直接侵入したり、外部から侵入するた
めの入り口を用意したりすることが出来る。
外部の人間には、誰でもそう簡単には機密情報を漏らす
と言うことは、常識的には無いだろうと考えられる。しか
3.4 なりすまし
しながら、パスワードを直接聞き出すまでには至らなくと
他人になりすまして、情報を引きだしたり、変更させた
も、名前等を聞き出す様な事は容易に可能であり、そのよ
りする手口である。
うな情報を元に、不正アクセスを実現すると言うことは十
なりすましには、以下のようなものが挙げられる。
分あり得る事である。
(例22)システム管理者になりすまして、ユーザをだ
以下に外部の第3者になりすます例を挙げる。
ます。
(例27)公共サービスの人間になりすます。
この場合、ユーザからすると、システム管理者はユーザ
外部の第3者の中でも、公共サービスの人間と言われれ
のパスワードを管理している立場にあり、なおかつシステ
ば、比較的信用し易いようである。その信頼を逆手にとれ
ムのエキスパートであるという信頼感から、あまり疑うこ
ば、言葉巧みに情報を引き出すことが出来る。
とをしないようである。これと同様の構図が、インターネ
119
(例28)取引先、見込み客等になりすます。
の事について訪ねると、本人に電話を転送しようとするの
取引のある企業から問い合わせがあれば、相手の機嫌を
は当然である。しかしながら、隣の部署などに電話した場
損ねてはいけないと思うあまりに、聞かれるがままに、つ
合などでは、本人に転送しようとする行為は、比較的親切
い重要な情報も漏らしてしまうことは、決して珍しくない。
な方であり、多くのケースはその電話に責任を負うことを
また、将来の顧客になるかも知れないと思えば、出来るだ
面倒くさがったり、電話番号が違っていると言うことを認
け聞かれたことに答えることで好印象を与えようとする。
識させるため、場合によっては物理的に転送が出来ないな
こうした心理を巧みに利用して、管理者の名前等を聞き出
どの理由により、転送せずに、その電話を切ってしまおう
することが出来る。
と思うようである。この心理を利用し、わざと他部署へ電
(例29)実在する顧客になりすます。
話して、ターゲットの人間に関する情報を引き出してしま
この場合は、特に苦情を申し立てると言うことが非常に
う事が可能となる。
有効である。特に消費者向けの製品を製造、販売している
また、特に日本では、各自の責任範囲が曖昧な場合が多
企業にとって、すべての顧客を把握しているということは
いため、それは自分の責任範囲ではないといって、その場
極めて難しく、したがって、顧客であることを認証する術
での対応を断るという事をしない場合が多い為、成功の確
は基本的には無いのが実態である。
率は高い。
また、これを更に発展させた形として、苦情の常連とな
また、なりすましの手段についても、幾つかの方法があ
り、コミュニケーションを続ける事で、相手と親しくなり、
る。
それによって、相手から情報を引き出すというテクニック
(例33)電話によるなりすまし
もある。
相手の顔が見えず、声だけになるため、なりすましやす
(例30)外国人になりすます(英語で電話する)
。
いことから、電話によるなりすましはなりすましの大半の
日本人は、外国人に対しては親切であると言うことと、
手口と考えられる。
アジア諸国に対しては無意識に優越感を持っているが、欧
(例34)手紙によるなりすまし
米人に対しては無意識に負い目を感じがちであるという事
電話同様に相手の顔が見えない為、犯行が発覚するリス
を利用したテクニックである。
クは低いが、臨機応援な対応が出来ない為、成功確率も多
方法は簡単で、企業に英語で電話をかけて、役職者や管
少下がる。
理者等の名前と電話番号などを聞き出すだけである。不思
(例35)変装によるなりすまし
議なことに、日本語で同じ事を行うと、
「失礼ですが、どの
例えば清掃員になりすますなどがあるが、この場合は構
ようなご用件ですか?」と言えることが、英語ではそうし
内侵入を伴う場合が多い。
た身元確認をしない事が多いようである。
(例36)メールによるなりすまし
メールの差出人を偽る方法である。場合によっては、メ
これらのテクニックは、
「誰になりすますか」と言う点
ールヘッダー情報などを偽造し、返送などについても盗聴
に重点が置かれているが、誰を狙うかということについて
を行うことによって、完全に他の誰かになりかわる方法も
のテクニックもある。
ある。
以下にその例を挙げる。
(例37)Web によるなりすまし
(例31)昼休みに、システム管理者の部下を狙う。
この手口は、Web spoofing と呼ばれている。これについ
システム管理者自身は比較的手強い相手であることは言
ては、後述する。
うまでもない。しかしながら、その部下などで、普段は補
3.5 チャット、B B S
助的な仕事をしているような担当者の場合は、間違ってよ
けいなことを行ったり、してはいけない事を間違ってして
チャット自体は、公開された場で行われているものの、
しまったりする可能性は極めて高い。しかも、場合によっ
実際に参加している人数が限られているため、当事者達は、
ては、普段任されていない仕事が出来るとばかりに喜んで
自分達だけの閉じた空間で会話しているように錯覚し易い。
協力することも考えられる。
したがって、そこは非常に油断しやすい空間であると言え
(例32)わざと別の部署に問い合わせる。
る。BBS に関しても、公開の場であるにも関わらず、特定
代表電話や、本人が所属する部署に電話をして、その人
の人物とのメッセージのやり取りが行われる事が多いため、
120
油断しやすい。
偽のサイトと言うことから、
「なりすまし」であると同時に、
自らが起こす行動によって実現することから、リバース・
例えばこのような例がある。
エンジニアリングの一種でもある。
(例38)チャットや BBS に「パスワードの付け方に
偽のサイトにアクセスさせる方法には以下の例が挙げら
は気をつけなくてはならない」などという話題を持ちかけ、
れる。
誰かが、
「ではどうすれば良いのか?」と質問してきたら、
(例42)偽りの DNS 情報を流す。
すかさず「名前と誕生日をつなげて複雑にする。
」とアドバ
まぎらわしい URL やドメイン名にして、偽りの URL
イスする。あとは、その人のパスワードを、アドバイスし
にリンクされたものを押させる。
(例43)E-mail 内の偽りの URL を押させる。
たパターンで解析すれば良い。
有名なサーチエンジンにこれら偽りの情報を登録する。
偽りのリンク集を作り、 偽りの URL でユーザを騙す。
3.6 リバース・ソーシャル ・エンジニアリング
ソーシャル・エンジニアリングの手口は、基本的にはソ
また、別に本物が存在する様な偽物になりすまさなくと
ーシャル・エンジニアリングを行う側が、何らかの形でタ
も、Web を通じて情報を入力させる手段がある。以下にそ
ーゲットに近づき、目的を達成する。これに対して、リバ
の例を挙げる。
ース・ソーシャル・エンジニアリングとは、必用に応じて
(例44)JAVA スクリプトで、そのページを開いたと
あらかじめ何らかの仕掛けをしておき、あとはターゲット
きに、あたかもプロバイダーがそれを行っているがごとく、
側が自らの意志で、行動を起こすことによって目的が達成
ID とパスワードの入力を促すダイアログボックスを表示さ
される種類の手口を指す。
せて、情報を得る。
(例45)懸賞を行うサイトを立ち上げ、応募させて、
以下にその例を挙げる。
情報を得る。
(例39)偽の緊急連絡先。
(例46)フリーメールサービスのサイトを立ち上げる。
ハードウェアやソフトウェアなどの保守業者の緊急連絡
ある程度の個人情報が得られるだけでなく、フリーメール
先が変わったという偽のメールを、システム管理者宛に出
用のパスワードは、その人が他でも同じパスワードを利用
し、トラブルがあったときにその連絡を受ける。保守業者
している可能性が高いため、パスワードの推測も容易とな
であると思いこみ、しかもトラブルの最中であると言うこ
る。
とから、相手は何でもしゃべってくれるに違いないであろ
う。この場合、トラブルを待つだけでなく、外部から使用
4.認識度調査
不能攻撃などを加える事もある。
今回の定性調査に関しては、その内容が、各企業のセキ
また、同様の手口としては、連絡先を携帯電話・PHS
ュリティーに関する事であり、第3者には聞かれたくない
等にした偽造名刺を渡す手口もある。
内容であるということから、フォーカスグループインタビ
(例40)偽のホームページ。
ュー(調査対象者をグルーピングして、1名のモデレータ
本物と思わせた偽のホームページにアクセスさせ、パス
ー(進行役)が、全員に質問をしながら、個々から回答を
ワード等を入力させる。詳細は Web Spoofing の項にて説
引き出し、臨機応変に、理由等を深く聞き出す等のインタ
明する。
ビュー手法)の形式が、調査対象から受け容れられ難いと
(例41)トロイの木馬。
いう判断から、調査員が個別訪問を行う形で行った。なお、
何らかの形で、あるユーザのコンピュータ内にプログラ
調査員と調査対象とは、機密保持契約が締結されており、
ムを仕掛け、そのプログラムの誘導によって、ユーザが認
調査結果については、その調査対象が特定できない範囲内
証情報などを入力する事により、その情報を獲得する仕組
での調査結果の公表のみが許されている。
み。
調査対象企業の業種は分散出来たが、調査対象者につい
ては、セキュリティーに関わる情報システム担当者に限定
3.7 Web Spoofing
される結果となった。
何らかの形で本物と思わせた偽の Web サイトにアクセ
調査対象の抽出方法
スさせ、そこで入力した情報を取得してしまう方法である。
弊社の顧客数百社から、業種毎に1社を無作為に抽出し、
121
個別に調査協力を依頼した。
活動はありますか?
調査対象企業のプロファイル
企業全体で、ソーシャル・エンジニアリングについて意
従業員数は2000名以上の1部上場企業である商社、
識を持っているかどうかを確認する手段として、ソーシャ
製造、金融、情報技術関連、公共の各業種から1社。
ル・エンジニアリングという言葉が使われた公式な社内活
動の有無について聞きます。例えば、情報システムにおけ
調査方法
るユーザーマニュアル等への記載、公式な掲示板への掲載、
調査対象企業に調査員2名が訪問し、各項目毎にヒアリ
全社員向けのメールによる周知徹底等の有無を確認します。
ングを行った。ヒアリングは、各企業のセキュリティーに
回答内容
ある
0名
ない
5名
これは、ソーシャル・エンジニアリングについて、セキ
関わる情報システム担当者(システム管理者)1名に対し
て行った。調査項目の大半は、選択形式ではあるが、質問
毎にその回答の理由などを聞いた。
ュリティー担当部門内では周知されているものの、全社的
調査項目とその目的
にこの言葉が使われた実績は未だに無いということのよう
定性調査における、基本的な調査項目については、
「殆
である。また、ユーザーマニュアル等で、パスワードの管
どの企業は、技術的な防御は施していたとしても、ソーシ
ャル・エンジニアリングに対しては、全くの無防備である。
」
との仮説を前提として作成した。
ャル・エンジニアリングによる危険についてまでの具体的
Q4、ソーシャル・エンジニアリングを意識した上でのセ
Q1、ソーシャル・エンジニアリングという言葉をご存じ
キュリティー保持の為の公式な社内ルールは何かあります
でしたか?
か?
ソーシャル・エンジニアリングの基本的な認知度を確認
意識を持っているだけでなく、具体的な対策を施してい
します。ただし、調査依頼をする上で、やむを得ず「ソー
るかどうかを確認します。
シャル・エンジニアリング」という言葉が使われている場
回答内容
合もありますので、質問の趣旨は、調査依頼以前に知って
人数
全てに意識している
0名
一部に意識したものがある
4名
意識したものは無い
1名
この回答の実態は、パスワードを忘れたときの運用方法
いたかということを求めます。
人数
知っている
5名
知らない
0名
この結果については、調査対象者が、既に技術的な対策
について、従来から書面による依頼によってのみ受け付け
るというルールが存在していたということをもって、一部
を施している企業のセキュリティー担当者であるため、全
意識したものがあるという回答となった。したがって、実
員がこの言葉を認識していた。
質的にはソーシャル・エンジニアリングを意識したルール
Q2、ソーシャル・エンジニアリングという言葉の意味は
作りというのは殆ど行われていないというのが実態である
ご存じですか?
と考えられる。
ソーシャル・エンジニアリングについての理解度を確認
Q5、Q4で「ある」と答えた方について、そのルールが
します。その回答を確認する意味で、知っている場合には、
守られているかどうかを確認し、それを守らせるようにす
その意味を答えて頂きます。
回答内容
理について十分注意するような記述はあるものの、ソーシ
な記述は無い。
調査結果
回答内容
人数
る手段はありますか?
人数
さらなる意識を高さを確認するために、ルールを徹底す
知っている
5名
知らない
0名
この結果についても、Q1と同様である。ただし、理解
る手段があるかどうかを確認します。
回答内容
人数
ある
4名
ない
1名
これは、管理者の作業履歴がログファイルとして残り、
の内容については、電話でパスワードを聞き出すといった、
特定のケースの事にたとえて理解しているケースが5名中
3名おり、様々なケースが考えられるということについて
これを保存しているということであり、実際にその内容を
の理解は決して十分ではないという事が伺える。
チェックしているかどうかは、全くの別問題の様である。
Q3、ソーシャル・エンジニアリングに関する公式な社内
122
これ以降は、周知のソーシャル・エンジニアリングの手
ゴミとして回収することによりリサイクルを実践する等の
口について、どのように対応するかを確認する事により、
行為は、その行為の正当性に、セキュリティーの意識が完
ソーシャル・エンジニアリングへの対応について、改めて
全に埋没してしまっている形となっている。
確認します。
Q9、その処分方法に不安はありませんか?
回答内容
ある
5名
ない
0名
やはり、各ユーザーがセキュリティーの意識を高く持っ
Q6、パスワードを忘れた場合の対処方法はどうなってい
ますか?
管理者からネットワークパスワードを聞き出したり、推
て、各自のゴミを処分しているかどうかについては、常に
測可能なパスワードに変更させたりする手法についての対
不安があるようである。また、安全な処分方法を実現する
策を確認します。
回答内容
申請書にて、直属上司の承認を得
て、管理者に依頼する。変更後のパ
スワードは、最初の1回限り有効の
ものが管理者から口頭にて伝えられ
る。
電話にて、管理者に直接依頼す
る。変更後のパスワードは、最初の
1回限り有効なものが管理者から口
頭にて伝えられる。
Q7、Q6の対処方法に不安はありませんか?
回答内容
人数
ためには、それなりのコストも発生することから、踏み切
人数
れていない企業が多いと考えられる。
4名
Q10、貴社建物またはフロアへの部外者の侵入について
のチェックはされていますか?
人間が直接侵入する事によって、直接目的を達成したり、
ネットワークを介した不正侵入に有用な情報を得たりする
1名
手法についての対策を確認します。
回答内容
人数
ある
3名
ない
2名
あると答えた3名の企業は、いずれも社員証または入館
人数
ある
5名
ない
0名
基本的には、回答者全員が不安を感じてはいるが、現実
(室)許可書のチェックが行われていた。
Q11、チェックがある場合、その内容に不安はありま
せんか?
的には、コンピュータの利用に関してそれ程長けていない
回答内容
人の数がまだまだ多く、これ以上厳しい運用は、ユーザー
人数
ある
3名
ない
0名
入館(室)許可のある者についていくことによって、
の混乱と管理者の負担の増大を招くために、踏み切れない
でいるというのが実態であるようだ。
Q8、社内から発生した文書、帳票等の処分方法はどうな
チェックを受けずに済ます事が出来るようである。
また、清掃員や工事関係者等に扮装してしまうと、わか
っていますか?
Trashing といわる、ゴミの中から、不正侵入に有用な
らなくなる様である。
情報を獲得する手法についての対策を確認します。
回答内容
人数
以下の質問は、その企業における過去の不正侵入に関す
コンピュータ出力帳票は、専門業
1名
者に委託。それ以外は各自の責任に
て処分。
裏紙として社内利用している。
1名
資源ゴミとして回収している。
2名
社内で裁断もしくは溶解してい
1名
る。
従来は連続帳票を使用した集中印刷処理が一般的であっ
る実績を確認します。
Q12、貴社は、過去に何らかの不正侵入が行われた事
がありますか?(認識していますか?)
回答内容
人数
ある
4名
ない
1名
Q13、Q12で「ある」と答えた場合、それは犯人が
特定出来ましたか?
たため、廃棄も非常にやりやすかったのだが、最近は、各
回答内容
ユーザーが自由に単票用紙に印刷する方法が一般的になっ
人数
特定出来た
0名
特定できない
4名
Q14、Q12で「ある」と答えた場合、不正侵入の方
ているため、基本的には各自の責任に依存せざるを得ない
ようになってきている。
また、裏紙として利用することによる経費削減や、資源
123
20 社の企業に対して、定性調査と同様の方法で、調査を行
法は特定出来ましたか?
回答内容
人数
い、その結果を集計することとした。
特定できた
2名
特定出来ない
2名
Q15、Q14で「できた」と答えた場合、それはソー
調査対象の抽出方法
弊社タイガーチームサービスの顧客数百社から、20 社を
無作為に抽出し、個別に依頼した。
シャル・エンジニアリングによるものでしたか?
回答内容
調査対象のプロファイル
人数
業種毎の内訳は以下のとおり
はい
0名
いいえ
1名
わからない
1名
Q16、これまでと同様の質問を含んだアンケート依頼
商社 3社
製造 5社
金融
3社
が、郵送にて届いた場合に、どのような対応をとられます
情報技術関連
3社
か?
公共
2社
流通
1社
サービス、その他
3社
回答内容
人数
答える
0名
答えない
4名
発信者に確認する
1名
これについては、基本的には、担当者自身はソーシャル・
いずれも従業員数は2000名以上の1部上場企業ある
いは同等規模の企業。
調査方法
エンジニアリングに対して、十分留意しようとい意志の現
調査対象企業に調査員2名が訪問し、各項目毎にヒアリ
れであると考える。
ングを行った。ヒアリングは、各企業のセキュリティーに
Q17、このインタビュー自体がソーシャル・エンジニ
関わる情報システム担当者(システム管理者)1名に対し
アリングだとは思いませんでしたか?
回答内容
て行った。調査時間を全部で30分と限定し、調査項目を
人数
全て選択形式として、理由等のコメントはあえて聞かなか
思う
2名
思わない
3名
「思う」と答えた2名は、一般論として、個々で得た情
った。
調査項目とその目的
報を利用するかどうかに関わらず、このインタビュー自体
定性調査の結果から導き出された仮説は、「殆どの企業
は、一種のソーシャル・エンジニアリングの手法になりう
およびその従業員は、ソーシャル ・エンジニアリングによ
るという意味で答えられました。また、
「思いません」と答
る不正アクセスに無防備である。
」と考えた。
えられた方々は、契約に基づいた信頼関係によって、個々
したがって、その仮説を検証するための調査項目としては、
で得た情報を利用して不正侵入を行うということは無いと
極めて基本的、初歩的な質問に成らざるを得ず、結局、定性調
いう意味で答えられました。
査と同様の項目を、定量調査でも使用する事となった。Q6、Q
8については、定性調査ではフリーアンサーであったが、定量
調査では項目を分割して、選択形式とした。
定量調査
調査結果
一般的には、定量調査は、調査対象セグメントの全体に
対して、一斉に調査用紙を郵送等で発送し、回答を返送し
Q1、ソーシャル・エンジニアリングという言葉をご存じ
ていただき、その結果を集計して、判断するという手続き
でしたか?
回答内容
をとる。しかしながら、現段階において、調査対象セグメ
人数
知っている
18名
知らない
2名
定性調査と同様に、技術的なセキュリティー対策を施し
ント全体の企業数が数百社と、定量調査としては非常に少
ない数であり、基本的に回収出来る数も統計を取る上では
極めて少ない数であることは否めない。また、定性調査の
ている企業の担当者を対象にしている為、セキュリティー
結果からもわかるように、定量調査自体が逆にソーシャル・
に関する用語の一つとして認知されているようである。
エンジニアリングとして疑われる可能性もあり、更に回収
Q2、ソーシャル・エンジニアリングという言葉の意味は
数は少なくなる物と予想された。したがって、今回はやむ
ご存じですか?
を得ず、調査対象セグメントの中から、無作為に抽出した、
回答内容
124
人数
知っている
16名
知らない
4名
言葉は知っているが、その意味がよくわからないという
ているかどうかを把握するのが目的である。この結果、最
方も居られるが、大半は言葉の意味も理解しているようで
に危険な状態にあると考える。ちなみに、直接出向かなけ
ある。ただしその理解が正しいか、あるいは十分であるか
ればならないというのはいわゆるワンタイムパスワード装
ということについては不明である。
置を利用しているケースである。
も危険な口頭での依頼および次に危険な電子メールでの依
頼が大半を占めている事から、やはり、大半の企業は非常
Q3、ソーシャル・エンジニアリングに関する公式な社内
Q6-2、その場合に与えられるパスワードはどのような形ですか
活動はありますか?
回答内容
回答内容
人数
人数
アリングの対策を施しているかどうかを把握するためのも
現在のパスワード。
0名
管理者が(または自動的に)新パス
13名
ワードを決定。
規定の初期値に戻す。
7名
さすがに殆どのシステムでは、管理者と言えどもパスワ
のだが、この結果からすると、やはり殆どの企業はソーシ
ードの表示がシャドウになっているため、現在のパスワー
ャル・エンジニアリングに無防備であると言うことが考え
ドを教えると言うことは無いようだ。しかしながら、規定
られる。
の初期値に戻すというのは、運用は楽ではあるが、そのよ
Q4、ソーシャル・エンジニアリングを意識した上でのセ
うなルールになっていると言うのがわかってしまえば非常
キュリティー保持の為の公式な社内ルールは何かあります
に危険であると言う認識は低いようである。
ある
1名
ない
19名
この調査項目の意図は、全社的にソーシャル・エンジニ
Q6-3、その直後のパスワードの設定はどうなっています
か?
回答内容
か
人数
回答内容
意識したものがある
1名
意識したものはない
19名
この項目の意図は、仮に全社的な取り組みは無くとも、
部門単位ででもソーシャル・エンジニアリング対策を行っ
ているかどうかを把握するための設問だが、ボトムアップ
型の啓蒙活動は非常に難しいらしく、そのような事が行わ
まる一方で、様々なレベルのユーザを多く持つ企業にとっ
れているケースも殆ど見受けられないようだ。なお、定性
ては、そのことによるトラブルや問い合わせ等も多くなり、
調査の結果は、調査員から例を提示した事によって得られ
負荷が増える事から、出来れば避けたいと言うのが本音で
たが、定量調査ではそのような事は全く行わなかったため、
あろうと思われる。勝手に変更が出来ないというのは、シ
このような結果になったと考える。
ステムの都合上ユーザにパスワードの変更権限が無いとい
Q5、Q4で「ある」と答えた方について、そのルールが
うことのようであり、業務システムの中には未だにこのよ
守られているかどうかを確認し、それを守らせるようにす
うなシステムが存在するのも事実である。
る手段はありますか?
回答内容
ある
ない
Q6パスワードの運用について
Q7、Q6の運用に不安はありませんか?
人数
回答内容
1名
0名
人数
ある
19名
無い
2名
この結果は、本当は管理者サイドでは、より安全な運用
Q6-1、パスワードを忘れた場合の復旧依頼はどのように
ルールを確立したいが、実際に運用するには管理者の負荷
行いますか?
回答内容
人数
必ず再変更しなければならないよ
10名
うな仕組みになっている。
各自に任されている。
8名
勝手に変更は出来ない。
2名
パスワードの変更は、頻繁に行われるほど、安全度は高
が増えることに対する不安と葛藤しているであろうという
人数
ことを裏付ける結果であると考える。
文書(ワークフローシステムを含
5名
む)で依頼。
電子メールで依頼。
10名
口頭で依頼可能。
4名
管理部門に出向く必要がある。
1名
ここでは、パスワードの不正取得がしやすいようになっ
Q8、ゴミの処分について
Q8-1、帳票類、書類の処理方法は何ですか
回答内容
主に可燃ゴミとして廃棄
裁断して可燃ゴミとして廃棄
125
人数
0名
5名
主に資源ゴミとして廃棄
10名
専門業者に委託して廃棄
5名
やはり、リサイクルを推進するあまりに、機密情報が危
ここで言う不正侵入は、内部犯行も含んでいる。
Q13、Q12で「ある」と答えた場合、それは犯人が特
定出来ましたか?
険にさらされているという、皮肉な結果が現れていると考
回答内容
える。
特定できた
1名
特定出来ない
13名
特定出来ないという中の大半は、特定する事をしていな
Q8-2、いわゆる「裏紙」を活用していますか
回答内容
人数
はい
15名
いいえ
5名
ここでもまた、目先の経費削減に、セキュリティーが埋
いのが実態のようである。
Q14、Q12で「ある」と答えた場合、不正侵入の方法
は特定出来ましたか?
没している事が示されていると考える。
回答内容
Q9、その処分方法に不安はありませんか?
回答内容
人数
人数
特定できた
8名
特定出来ない
6名
内部犯行の場合、アクセスする事自体は正当な行為だと、
人数
ある
19名
ない
1名
この結果も、Q7と同様に、セキュリティーの担当者と
方法はいくらでもあり、特定出来ないというのが実態のよ
しては、あるべき姿がわかっているが、ゴミの廃棄を有償
Q15、Q14で「できた」と答えた場合、それはソーシ
うである。
にて安全に行わせるためには、それを管轄するのが、通常
ャル・エンジニアリングによるものでしたか?
は総務部門などが行っているため、難しいという実態があ
回答内容
り、そこまで踏み込めていないと言うことを裏付けている
はい
0名
いいえ
2名
わからない
6名
ソーシャル・エンジニアリングによる場合は、そのター
と考える。
Q10、貴社建物またはフロアへの部外者の侵入について
のチェックはされていますか?
回答内容
人数
ゲットになった人物が、そのことを理解していなかったり、
人数
わかっていても自分の責任を回避するために、そのことを
ある
18名
ない
2名
ちなみに無いと答えた2社は、貸しビルをフロアまたは
告白しない場合があり、基本的に発覚しづらい様である。
スペース単位で借りている企業である。自社ビルあるいは
総 括
一棟借りをしている企業は警備員によるチェックが行われ
これらの調査結果から判断すると、殆どの企業はソーシ
ているようであり、フロアまたはスペース単位で借りてい
ャル・エンジニアリングに対しては無防備であるという仮
る企業でも、カードキー等の認証による開鍵装置がつけら
説が成り立つと考える。また、情報セキュリティーに直接
れているようである。
的に関わる情報システム担当者に対して行った結果がこの
Q11、チェックがある場合、その内容に不安はありませ
レベルであることから察するに、一般社員の意識のレベル
んか?
は相当低いことは容易に想像できる。
回答内容
人数
今回の調査研究は、おそらくソーシャル・エンジニアリ
ある
15名
ない
3名
警備員の徹底的なチェックと認証装置が組み合わされて
ングに関する実態調査としては我が国初の試みと考えられ
るが、ソーシャル・エンジニアリングそのものの認知度の
低さとセキュリティに関する調査という最も協力を得にく
いる様な所では、安心出来る場合もあるようだが、殆どが
い分野であることから、調査対象企業が少なく、満足のい
いずれか一方であり、運用上便宜を図る目的で盲点が生ま
くものではない。しかし事例の収集や分析はソーシャル・
れている様である。
エンジニアリングに対する対抗策を策定する上で非常に重
Q12、貴社は、過去に何らかの不正侵入が行われた事が
要であることは論を待たない。今回の調査研究がソーシャ
ありますか?(認識していますか?)
回答内容
ある
ない
ル・エンジニアリングの脅威の認識につながり、1社でも
人数
多くの被害事例の収集に協力的な企業が現れるきっかけに
14名
6名
なれば幸いである。
126
Fly UP