reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 日頃、楽しみにしているコンテンツのひとつにInterner Watchの「海の向こうの“セキュリティ”」というのがあります。

 「海の向こうの“セキュリティ”」では海外のセキュリティ情報を取り扱ってくださるのですが、どこでも報じるようなメジャーなネタではなく、マイナーだけどとても参考になる事例などをよく取り上げてくれます。
 
 今回の「架空の新人「女性」職員を使った侵入テスト、成功率100%」という記事もとてもおもしろい記事でした。
 
【海の向こうの“セキュリティ”】 第87回:架空の新人「女性」職員を使った侵入テスト、成功率100% ほか - INTERNET Watch
 これは架空の女性新人職員を装い、FacebookやLinkedInを介して対象機関の職員らに接触、当該機関内のネットワークに侵入できるかなどを試したものです。


 詳しくは同記事を読んでいただくといいのですが、かいつまんで説明すると以下のような方法でいとも簡単に対象組織のネットワークに侵入できてしまったというお話です。

架空の女性新人職員(それもとても魅力的な!)を装ってFacebookなどのSNSを利用して対象組織の職員を信用させる



 これは特に珍しい手法ではなく、いわゆるソーシャルエンジニアリングと呼ばれる人間の心理的弱点を悪用した攻撃手法です。

 ただ、今回の場合は、「セキュリティのプロが正規の依頼に基づいて行った侵入テスト」であったため、その手口は巧妙で、かつ最終的には詳細が公開されたので、とても興味深い内容となっています。

 上記記事にも概要が記されていますが、まったく同じではおもしろくないので、本エントリでは写真やその他の情報などで少し補足を加えます。

 
 この侵入テストで用いられた架空の女性には「Emily Williams」という名前が付けられていました。

 この「Emily Williams」は架空の存在ですが、まるで実在しているかのようにさまざまな仕掛けが施されていました。

 この辺りは、Joseph Muniz氏のブログに詳しく紹介されています。

SOCIAL MEDIA DECEPTION PROJECT : Emily Williams isn't real! | The Security Blogger


 ちなみに、「海の向こうの“セキュリティ”」の記事では、「セキュリティの研究家Aamir Lakhani氏ら」と記述されていましたが、「Emily Williams」は、Aamir Lakhani氏とJoseph Muniz氏の両ハッカーにより、作り上げられています。
 

 「Emily Williams」は、2011年11月、Facebook上に誕生しました。
 
 その後、Linkedin上にも彼女が現れます。この時、名前だけでなく、容姿も与えられました。対象組織の職員が利用しているレストラン「フーターズ」のウエイトレスです。本人同意の上でその方の写真が使われただけです。その方の写真がこちら。

IMG_0766.jpgIMG_0767.jpg
(出典:SOCIAL MEDIA DECEPTION PROJECT : Emily Williams isn't real! | The Security Blogger

 こりゃ、騙される自信ありますねw

 「Emily Williams」は、さらにリアルなプロフィールが与えられます。偽の社会保障番号、住居、テキサス大学でITを学んだことなどです。また、「海の向こうの“セキュリティ”」では、MITを卒業したことにもなっていたようです。これらは、他のサイトや掲示板などにも掲載され、より信憑性を高める工夫がなされていました。このようにして、対象組織の新人女性としてふさわしい経歴が与えられました。
 
  後は、「海の向こうの“セキュリティ”」のエントリで書かれているとおりです。

  周到に作り上げられた「Emily Williams」は、「誕生」からわずか15時間で、対象機関の職員および下請け業者60名のFacebookアカウント、55名のLinkedInアカウントとつながりを持ち、最初の24時間で3つもの仕事のオファーを受け取っています。仕事のオファーに関しては、ビジネスによく使われるLinkedinの影響が大きいでしょう。

 最終的に「Emily Williams」は対象機関のネットワークへの侵入を果たします。

 如何に厳重なセキュリティ対策を行っていても、人間自体が攻撃されるといとも簡単に侵入されてしまうという典型的な例ですね。
 
 インターネットが普及した現在、実際に会うこともなく仕事をすることがあります。
 
 今回のケースは「自組織の女性新人」でしたが、私自身、系列会社の方と一度もあうことなく10年くらい一緒に仕事をしています。果たして、彼女は実在するのかなw

 Aamir Lakhani氏はこのケースから以下のようなアドバイスを残しています。
 

職員を名乗る不審人物を見つけたらすぐに人事部に連絡する

業務に関するものはソーシャルメディア上に載せない

職場で使用するPCをソーシャルメディアなどの個人的な目的で使用しない

パスワードを使い回ししない

ネットワークの1つが侵入されても他のネットワークが守られるようにネットワークを分離する
【海の向こうの“セキュリティ”】 第87回:架空の新人「女性」職員を使った侵入テスト、成功率100% ほか - INTERNET Watch



 このうち、一番最初の「人事への確認」はなかなかしないでしょうね。ちなみに先の私の仕事仲間の方は、社内の電子的なアドレス帳を用いて確認しているので実在していると思うのですが、それすらも偽造されていたらアウトですね。


 それにしても秀逸なのは最後の一文です。


ちなみに、Lakhani氏らは、架空の「男性」新人職員を使って同様のテストを行なったそうですが、ソーシャルメディアで繋がった職員は誰もおらず、何の成果も得られなかったそうです。
【海の向こうの“セキュリティ”】 第87回:架空の新人「女性」職員を使った侵入テスト、成功率100% ほか - INTERNET Watch



 どこの世界も「女性新人」には弱いようですね。


【おまけ】
 人間の心理的な隙などにつけ込んで個人が持つ秘密情報を入手する方法をソーシャル・エンジニアリングと言います。ソーシャル・エンジニアリングについて詳しく知りたい方には以下の本をおすすめします。

 この本のレビューをビーカイブさんに寄稿しています。よかったらご覧下さい。
必読! 伝説のハッカーによるソーシャル・エンジニアリング本は企業セキュリティのバイブル


Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。