サイト内検索:

ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃対策の重要性を解説

これはなかなか面白い記事でした。

ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃対策の重要性を解説 -INTERNET Watch

株式会社アズジェントは24日、「進化する標的型攻撃。ヒューマンハッキングの実態」と題したセミナーを開始。かつて世界で最も有名なクラッカーと呼ばれたケビン・ミトニック氏が、米国からの中継による講演を行った。

ケビン・ミトニックさんを知らない人はWikipediaのこちらをご覧下さい。簡単に言えば非常に有名なクラッカーで1995年にFBIに逮捕、現在出所してセキュリティ関係の会社をやられています。

ケビン・ミトニック

で、まず記事を読む前にソーシャルエンジニアリングというものを知っておく必要があります。こちらもWikipediaで。

ソーシャルエンジニアリング

ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。

さて、具体的にはどういう感じでしょうか。

銀行から電話だけで不正に1000万ドルを引き出した詐欺師の例を紹介し、ソーシャルエンジニアリング攻撃は電話をかけるだけでもできてしまい、OSの種類の違いやIPSのような対策にも関係なく、技術的なハッキングよりも簡単に行え、捕まるリスクも低いといったメリットが攻撃者にあるとした。

むずかしいコンピュータに関する技術や知識がなくてもできちゃうよ、ということです。

ソーシャルエンジニアリング攻撃の有効性を示す事例としては、英国で「無料のギフトをあげるからパスワードを教えてくれ」と持ちかけたところ、約7割の人が教えてくれたという実験結果を紹介。「ソーシャルエンジニアリングはほぼ100%近くの効率の良さがある。セキュリティにおける真の問題は人間」だとして、技術的なセキュリティ対策に加え、ソーシャルエンジニアリング攻撃への対策の必要性を訴えた。

へえ、教えちゃうんだあ。でもどっかの会社のサポートに電話すると電話越しにパスワード聞いてくるところもあるしなあ。

企業が公開している文書ファイルなどからメタ情報を集めることで古いOSやアプリケーションを使っていることがわかり、攻撃の糸口にできるといった例や、古典的な手法だが"ゴミ箱あさり"で拾われた社内内線表や廃棄したHDDなどから攻撃につながった例などを紹介。こうした手口は現在でも極めて有効だとした。

まあ狙われちゃったらおしまい、ってところもあるなあ。

で、対策ですが、

「人は"自分は賢い"と思いたがるという"脆弱性"を持っている」として、攻撃に対して従業員に「各自の判断」で対応させないようにすることが重要だと指摘。誰も読まないような分厚いセキュリティポリシー集ではなく、現場の人間にもすぐに参照できる簡単なマニュアルを作ることや、ソーシャルエンジニアリング攻撃の演習を行って"人間の脆弱性"をあらかじめ調査することなどが重要だと語った。

とのこと。

でもほんとにまじめに狙われちゃったらおしまいですよねえ。

blog comments powered by Disqus

2011年アルファブロガー受賞

新着DVD

モバイル

Powered by Movable Type 6.1.2

ブログ内検索

BlogPeople ReviewMe!

このサイトのレビューとか応援コメントを書いてもらえると励みになります。

Affi☆List for Amazon

バナー広告

このブログ記事について

このページは、nagasawaが2013年5月27日 16:54に書いたブログ記事です。

ひとつ前のブログ記事は「5月27日のラッキーさん」です。

次のブログ記事は「メガソーラー暗雲 売電申請の7割、門前払いも」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。