2012年8月20日月曜日

現代のハッカーは巧みな話術を駆使してオフラインの世界にも侵入する!?

8/16の朝日新聞に興味深い記事がありました。

「巧みな話術でハッカー攻撃 米で危険性訴えるイベント」
※朝日新聞デジタルの会員限定記事


ハッキングのイメージを覆すちょっとショッキングな記事です。

「高度な技術を駆使してネットワークに忍び込むばかりがハッカーではない。巧みな話術で相手から直接聞き出した情報も、侵入の決め手になる。」

ハッカーのイベント「デフコン(DefCon)」で、実際の企業に電話をかけて情報を聞き出す話術を競うコンテストが行われています。朝日新聞によると、ガラス張りのブース内でヘッドセットをつけ、20分間電話でのやりとりを行います。面白いのは、電話の相手は実際の企業の担当者だということ。その担当者にはコンテストのことは何も知らされていません。

ハッカー攻撃にいかせる情報をいかに引き出すかを競うもので、電話口で出入り業者、使っているパソコンの機種やOS、ウイルス対策ソフトまで聞き出します。企業の幹部を装って、「最初に当り障りのない質問がくると、機密に触れる質問に移っても協力的に答えてしまう」とのこと。

コンテストで優勝を飾ったハッカーは、電話口で対応する担当者を偽サイトに誘導し、結果的にコンテストで評価の対象となるすべての情報を入手することができたとか。

電話の相手を会社の幹部だと信じきってしまった担当者がかわいそすぎますが、実際にみなさんは人レベル・会社レベルで、それを完全に防御する対策は行われているでしょうか?

一見、ささいにみえる情報でも、出入り業者や不在の時間が特定されてしまうと、そのすきに侵入されて機密情報を盗み出したり、ウイルスを撒き散らすこともできてしまうリスクがあります。

昨年の大会の模様を伝えた別の記事によると…

ハッカーたちは、社内で使っているソフトウエアのバージョンから社員食堂に食事を提供している業者まで、企業の従業員からさまざまな情報を引き出すことができた。ソフトウエアのバージョンがわかれば、攻撃すべきぜい弱性を突き止めることができる。また社内の運用情報が入手できれば、企業スパイが施設に潜入することも可能になる。 
最も効果的な策略は、取引を検討中の顧客のふりをして企業に電話をかけ、その企業の安全性を聞き出すことだという。ほかには、社内の別部署のスタッフのふりをして電話をしたり、遠方の技術サポート部門のスタッフのふりをすることも効果的とのこと。

どうせ、小さな会社の問題だろうと思ったかもしれませんが、実際にハッカーたちが電話をした相手はアップル(Apple)やオラクル(Oracle)、シマンテック(Symantec)、ウォルマート(Walmart)といった全米を代表する名だたる企業ばかり。むしろ、大企業であればあるほど、社内の人たちの顔を全員知らない分、電話でのちょっとした問い合わせに答えてしまうということもあるのかもしれませんが。

再び、前述の朝日新聞の記事に戻ると、日本はもっとも騙されやすい国だとか。

「大企業に勤めていなければ関係ない。特にノマドで仕事している自分には無関係」と思ってはいませんか?そういった油断が落とし穴になるかもしれません。顧客や仲間との信頼関係が一気に崩壊することにもなりかねません。

ハッキングから大切な情報を守るためには、システム自体の穴をふさぐことにだけに目が行きがちです。しかし、実際にはシステムをいかに強固にしようと、人的なエラーによりそうした努力が水の泡となりかねない。このイベントは、そうした「人」という要素を考慮する必要性を提起しているように思います。

といっても、ノマドワーカーの間で、具体的な対策方法がまだ確立されているわけではないのですが…
ぜひ、みなさんもこうした問題への解決策があれば、ぜひ共有していただければと思います。