(写真:show999/PIXTA)

あなたが勤務中、デスクの電話がふと鳴り、応対する。

あなた「はい、XXXです」

相手「システムの高橋(仮名)です。社内の端末についてセキュリティ・パッチを当てているのですが、XXXさんの端末だけ、うまくいかず直接ご連絡しました。使用しているPCのアップデートをかけたいのですが、操作をお願いできますか?」

あなた「そうですか。わかりました。どうすればよいですか?」

〜指示通り、設定画面などを開かせられる〜

相手「おかしいな、うまくいかないですね。私のほうで、リモートで操作しちゃいますので、マウスから手を放していただいていいですか。私が遠隔操作してセキュリティの更新をかけちゃいますね」

あなた「わかりました」

相手「遠隔操作したいので、念のため社員番号とログインIDとパスワードをお聞きしてもよいでしょうか……」

疑似攻撃はほぼすべて成功

こうしてあなたの個人情報は相手に渡る。これは、「ソーシャル・エンジニアリング」の簡単な手口の一例だ。そして、得た情報を手掛かりにサイバー攻撃や詐欺が行われることもある。

ソーシャル・エンジニアリングとは、総務省によれば「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法」と紹介されている。

その手口の例としては、以下の通りだ。

・関係者になりすました電話などによる聞き取り

・ショルダーハッキング(キー入力や画面を盗み見る)

・トラッシング(ゴミ箱をあさり、情報を集める)

上記の攻撃手法はあくまで、“例”であり、他にもメールによって悪意あるリンクを踏ませるなどの標的型メールといった手法も含まれる。

筆者は、企業の依頼を受け、当該企業に対し疑似的にソーシャル・エンジニアリングを用いた攻撃をしかけ、セキュリティホールを見つけるとともに社員への警鐘を鳴らす取り組み=ソーシャル・エンジニアリングテストを提供しているのだが、“ほぼすべて”成功している。なぜなら、ソーシャル・エンジニアリングの手法は多様かつ極めて巧妙だからだ。

最近の事例として、2018年、暗号資産取引所「コインチェック」が不正アクセスの被害に遭い、580億円相当の暗号資産(NEM)が流出したケースがある。

攻撃者は、SNS等を通じて同社のエンジニアを特定し、それぞれのエンジニアに対し、偽名で接触を開始。SNS上で交流を重ね、約半年間もの時間をかけて信頼関係を構築した。メール・コミュニケーションをする中でマルウェアを仕込んだメールを送付し、あるエンジニアがそれを開封したことで攻撃者の不正アクセスの足掛かりとなり、約580億円分の暗号資産を不正に流出させるに至った。

スパイ活動の手口と酷似

上記の手法で言えば、ビジネスSNSを見ることで、所属部署や担当業務が把握できる。また、名刺管理アプリでターゲットになり得る人物を検索してもよいだろう。

そして、ターゲットにSNS上で接触する。その口実は共通の趣味でも、転職の相談や担当業務に関する意見交換でもよい。ターゲット企業が産業展などに出展する場合は、そのサービスに関心があるフリをして日本企業として偽名の名刺を作成して堂々と接触し、名刺交換を行うこともできる。

その後、メールを主としたコミュニケーションを図り、十分に関係を醸成したうえで、ファイルの送付を行う口実を作り、マルウェアを仕込んだZIPファイルを添付して送付するのだ。その口実は相手との関係次第でいかようにも作れる。

このようにSNSで接触しサイバー攻撃の足掛かりとなった例は、2020年の三菱重工業に対する不正アクセス事件がある。これは、同じく2020年に立件された積水化学工業元社員によるLinkedinを通じて知り合った中国企業への情報漏洩事件のように、日本で行われているスパイ活動の典型的な手口と酷似する。

注意点は、これらの攻撃は波状的に行われる場合があることだ。

例えば、暗号資産取引所「コインチェック」のケースにおいて、エンジニアがメールを開封したことでマルウェアに感染したところで、被害企業内のセキュリティ対策により内部システムへの侵入が防がれたとしよう。

その場合、エンジニアと半年以上かけて交友関係を作った攻撃者は、エンジニアの携帯電話番号くらい入手しているだろう。そして、攻撃者は被害企業のセキュリティ部門を装って電話をかける。

「今、あなたのPCから不正アクセスが検出されました。あなたのPC上で被害拡大を防止するために一定の操作が必要です。こちらで指示された通りに操作してください」と伝え、内部システムへの侵入を試みるのだ。

上記は一例であり、多種多様な攻撃が可能であることは実感いただけたのではないだろうか。

相手を信用させるのも攻撃の一環

ソーシャル・エンジニアリングの基本は人間の心理に作用し、行動ミスにつけ込むことが基本だが、相手を信用させることが攻撃成功の近道である。

例えば、ターゲット企業にメディア出演依頼を装って問い合わせを行い、XXXテレビと申し伝え、ターゲット企業の担当者と複数回のオンライン会議を行う。この際、オンライン会議のバーチャル背景にXXXテレビのロゴを配しておくことで信憑性も増す。

そして、出演に関する企画書を送付すると言い、@XXXtv.co.jpといったあたかも信憑性のあるメールアドレスからマルウェアを仕込んだファイルを送付するのだ。

2022年末には、警察庁が国際政治や安全保障などを専門とする大学教員や報道関係者らを標的とし、講演依頼などのメールを送りつけ、ウイルスに感染させる「標的型メール攻撃が相次いでいる」として注意喚起を行った。

また、4月の入社時期になれば、セキュリティリテラシーの低い新入社員をターゲットとした攻撃もある。

SNSで新入社員が「今日はXXX社の入社式」などと書きこめば攻撃者に把握されてしまう。また、社屋で入社式を行った際、攻撃者は社屋から入社式を終えた新入社員を尾行して自宅を把握したり、当該新入社員に対し、新入社員によくある他社との名刺交換を促すキャンペーン(=ノルマ)を装い、名刺交換をすることで個人情報は容易に入手できる。そして、ターゲット企業のセキュリティルールを理解しきれていない新入社員に対し、上司や人事部門を装い、騙すのだ。

攻撃者は手段を選ばない

ソーシャル・エンジニアリングは何もSNSやメールコミュニケーションなどのバーチャルの世界だけではない。攻撃者は、マルウェアを仕込んだUSBをターゲット企業の使用端末に差し込むことも可能だ。そのために、出入り業者を買収することもある。

有名な例では、ロシア人ハッカーが、数年前に知り合った自動車メーカー・テスラの従業員にメッセンジャーアプリ「ワッツアップ」経由で接触し、「従業員がメールに添付されたマルウェアを開くか、ウイルスに感染したUSBメモリーをテスラ社のPCに差し込むことで社内ネットワークにウイルスを仕込む」対価として現金かビットコインで100万ドルの報酬を支払うと持ち掛けたケースがある(本件は従業員がFBIに通報し未遂で終わった)。

また、攻撃者は実際に社屋に侵入することもある。セキュリティの甘い会社であれば、プリンターの点検などと称して、ネームカードを下げれば執務室への侵入は難しくない。実際、とある官公庁に対し、上記手口で侵入できた疑似攻撃例もある。

その他、簡単な作りのセキュリティカードをカバンにしまったターゲットに満員電車などで近づき、攻撃者は非接触型のカードリーダーをカバンに忍ばせ、ターゲットのカバンと密着させることでターゲットのカバン内にあるセキュリティカードの情報を読み込み、後にセキュリティカードを複製し、堂々と社屋に入社することも可能だ。

さらに、ターゲット企業が使用するWi-Fiになりすました偽Wi-Fiを飛ばす機器をターゲット企業のロビーに置き、この偽Wi-Fiにアクセスした社員を足掛かりに不正アクセスを試みることも可能だ。極端な例では、地方の企業に対し、社屋の屋上にドローンを飛ばし着陸させ、偽Wi-Fiを飛ばす手法もある。実際にこの手法を用いた攻撃が確認されている。

ここまでくれば、もはやソーシャル・エンジニアリングとは言えないが、攻撃者にとってはその手段は“何でもよい”のだ。

生成AIの悪用も想定される

最近では生成AIを活用することで、海外の攻撃者は日本語でのメールコミュニケーションに不自由がなくなり、その日本語の不自然さで見抜くといったことは難しくなってきている。また、音声生成AIを用いたニセ音声の悪用により、上司などを装ったソーシャル・エンジニアリングも想定される。

ソーシャル・エンジニアリングは人間の心理と行動上のミスにつけ込む巧妙な手口であり、その手法は驚くほどアナログであることも多く、社員個人のセキュリティ・リテラシーに依存している状況を突いている。

一方で、ソーシャル・エンジニアリングの疑似攻撃では、今から1週間以内に攻撃すると全社員に予告すると当然その攻撃成功率は下がる。ソーシャル・エンジニアリングを軽視せずに、「ここまでやってくるのか」と理解することで、社員のセキュリティ・リテラシーは一定程度向上し、攻撃を防げる可能性も高まるだろう。

攻撃者は、日夜、攻撃手法を考えている。その脅威を是非認識いただきたい。

(稲村 悠 : 日本カウンターインテリジェンス協会 代表理事)