データ侵害はどうしてこれほど頻繁に起きるのでしょうか。2014年7月の報告[i]によると、エネルギー分野などを標的とした攻撃により、北米とヨーロッパで1,000以上のエネルギー企業が被害を受けたとされています。他の分野を標的とした攻撃(Operation Troy、Operation High Roller、Night Dragonなど)では、データ侵害の被害を免れた分野はないようです。こうした攻撃に共通するひとつのテーマは、最初の感染ベクトル、つまり信頼する従業員の潜在意識の悪用です。一般的なデータ侵害の手口の大半は、ソーシャルエンジニアリングの形式を利用して、マルウェアに感染させる行動をユーザーにとらせるというものです。
情報を公開させるサイバー攻撃の多くでソーシャルエンジニアリングが利用されているということは、悪意のあるやりとりかどうかを見分ける被害者の感覚が脆弱であるか、もしくはサイバー犯罪者がより複雑な手口を用いて「人間のファイアウォール」を回避しているということです。この答えは、これらの2つの原因のどこかにありそうですが、元となる事例が何であれ、防御の最前線が破られていることは確かです。ユーザーが侵害の原因であると非難する基本姿勢は、全く公正ではありません。ユーザーの明らかに安全ではない行為が原因である事例もあるかもしれませんが、マカフィーが最近発表したホワイトペーパー(英文)『Hacking the Human Operating System(人の心理や行動を悪用するハッキング)』(日本語のサマリーレポートはこちら)では、攻撃者が標的となる人々の意識を出し抜き、潜在意識の影響力を利用して被害者を操ろうとする手口が明らかにされています。
同ホワイトペーパーでは、ソーシャルエンジニアリングの概念をはじめ、最近のサイバー攻撃の多くで用いられる手口、被害者を操るのに用いる手段、利用される伝達経路、リスクを軽減するために推奨される方法など、ソーシャルエンジニアリングに関して多くのページを割いています。これらの解説内容は、定義から軽減策までさまざまです。同ホワイトペーパーの目的は、ソーシャルエンジニアリングの概念について定義し、単に気を付けるよう警告するだけではなく、具体的な軽減策を紹介することです。
防御の最前線に対処しない限り、データ侵害はTwitterのタイムラインを占領し続け、増大するサイバー犯罪のコストを負担することになるでしょう。
※本ページの内容はMcAfee Blogの抄訳です。
原文: Hacking the Human OS: A Report on Social Engineering
著者:
Intel Security EMEA地域担当 CTO、ラージ・サマニ(Raj Samani)