最も防ぎにくい攻撃、技術を必要としない

2020年7月、Twitterの内部管理システムが侵入されました。攻撃者はBarack Obama、Joe Biden、Elon Musk、Appleの公式アカウントを含む130以上の高名なアカウントを同時に制御し、これらのアカウントを使って暗号通貨詐欺のツイートを投稿し、数時間で10万ドル以上のビットコインを騙し取った。 この攻撃の技術的核心は、特に高度な脆弱性を利用することではありませんでした。 攻撃者はTwitterの従業員に電話をかけ、IT部門の職員を装って内部システムのアカウント認証を支援するように装い、従業員をフィッシングページに誘導して自分の作業アカウントの認証情報を入力させました。数人の従業員が信じ込み、攻撃者はTwitter内部ツールシステムへのアクセス権を取得しました。 全体の侵入過程は、電話をかけるところから完了するまで、推定で数時間もかからないものでした。

ソーシャルエンジニアリング攻撃の核心ロジック

ソーシャルエンジニアリング攻撃の利用するのは、人間が特定の状況下で示すいくつかの予測可能な心理反応です: 権威への服従 人が指示が権威のある出所からのものであると信じるとき(例:IT部門、上司、銀行のカスタマーサービス)、彼らはこの指示を実行する前に、指示そのものの妥当性を大幅に低下させます。攻撃者は権威の役割を装い、相手が十分に考えずに彼らが必要とする行動を実行させます。 緊急感の醸成 アカウントが30分以内にロックされる、システムが攻撃を受けており即時の対処が必要、あなたの荷物を今日確認しなければ返送される、こうした緊急感の演出の目的は、相手が落ち着いて考える暇もなく行動をとることです。 信頼構築の再利用 一部のソーシャルエンジニアリング攻撃は単発の接触ではなく、まず信用を築く時間を使い、信頼を得た後に本当の要求をすることで成り立ちます。相手は既に何度かの正常なやり取りを通じてあなたに信頼を持たせ、その後特定のタイミングであなたに協力を求める要求を行います。

実際に発生した企業侵入のケース

Uber 2022年データ漏洩 2022年9月、18歳の攻撃者がUberの内部システムに成功裏に侵入し、AWS、Google Cloud環境、HackerOneの脆弱性報告データベースを含む複数の重要システムのアクセス権を取得しました。 侵入の起点は、ダークウェブでUberの契約者のアカウント情報を購入し、その後その従業員に多要素認証のプッシュ通知を持続的に送信したことでした。疲労からプッシュ通知を受け入れた後、攻撃者は初期アクセス権を取得し、内部システムを通じてより高い権限を持つアカウント認証情報を含む設定ファイルを見つけました。 MGM Resorts 2023年攻撃 2023年9月、MGM Resortsがランサムウェア攻撃を受け、ラスベガスの複数のカジノシステムが10日以上停止し、推定損失は1億ドルを超えました。 攻撃者はLinkedInでMGMのIT従業員の情報を見つけ、MGMのサービスデスクに電話をかけて、偽の従業員としてアカウントのアクセス権リセットを要求しました。サービスデスクは十分な身元確認をせずにこのリクエストに応じ、攻撃者は企業ネットワークへの入り口を得ました。 全体の初期侵入プロセスは、報道によると約10分の電話で完了しました。 Twitter 2020年(前述のケースの延長) この事件の追跡調査により、攻撃に関与した主要な人物のひとりが当時17歳で、フロリダ州に住んでいたことが明らかになりました。彼は暗号通貨のコミュニティを通じて他の攻撃者と知り合い、計画全体は通信から実行まで約数日かかりました。 これら3つのケースには共通した点があります。それは、攻撃が成功する最終的な理由は技術的能力ではなく、1通の電話または1つのメッセージの中での人と人の信頼であるということです。

なぜ技術的防御はこの問題を完全には解決できないのか

ファイアウォール、多要素認証、エンドポイントセキュリティソフトウェア、これらの技術ツールは伝統的な技術攻撃に対処する際に有効ですが、攻撃者の目標が真実の人を説得して、見た目上合理的な要求を実行させることになると、これらのツールはほとんどの場合、攻撃経路の脇に立っているだけで、真ん中には立っていません。 これは、技術的防御が無意味であることを意味しているわけではなく、ソーシャルエンジニアリング攻撃がサイバーセキュリティ防御の中の単に技術では解決できない側面、人の判断を明らかにしているということを意味します。 企業にとって、ソーシャルエンジニアリング攻撃のリスクを低減する核心は、より多くのツールを購入することではなく、従業員がこの種の攻撃がどのように機能するのかを真に理解し、認証情報を提供する要求や敏感な操作を実行する要求を受け取ったときに、状況的圧力に影響されない検証プロセスを持つことです。 個人ユーザーにとって、この種の攻撃のロジックを理解することが、最も効果的な防御の基本です。次回、緊急感を醸成する公式な通知のメールや、アカウント情報を即座に提供するように要求するカスタマーサービスからの電話を受け取ったとき、これらのケースの詳細はその瞬間にあなたにもう1秒考えさせるかもしれません。そして、その1秒が、しばしば違いを生むのです。 関連読み物:假客服本当にあなたに積極的に連絡しますか?一般的な公式カスタマーサービスを装う詐欺手法の整理

ソーシャルエンジニアリング攻撃に関して、セキュリティ業界の専門家と一般ユーザーが最もよく尋ねるいくつかの質問

企業はすでにセキュリティ意識のトレーニングを受けているのに、なぜソーシャルエンジニアリング攻撃に成功するのか?

セキュリティ意識のトレーニングは知識の面での準備を提供しますが、ソーシャルエンジニアリング攻撃は人が真実のプレッシャー状況下で即時に判断することを利用しており、知識の欠如を利用していません。研究によると、完全なサイバーセキュリティトレーニングを受けた従業員でさえ、十分にリアルなソーシャルエンジニアリングの状況に直面した場合、相当な割合が攻撃者の要求に応じてしまうことが示されています。 違いは、トレーニングを受けた従業員は事後に何が起こったのかをより早く認識し、通報の速度も速く、損失をより小さい範囲に抑えることができることです。トレーニングの本当の価値は、攻撃を防ぐだけでなく、異常な状況が迅速に認識され、報告される文化を構築することにあります。

個人はどのようにして電話や手紙が本当に公式から来たのか確認するのか?

最も信頼できる方法は、電話を切るか、メールを閉じて、自分が自発的に調べた公式の連絡先を通じて再確認することです。この検証のアクションは、必ずあなたが自発的に開始しなければならず、相手が提供する連絡先ではありません。 公式機関、銀行またはプラットフォームは、あなたが身元を再確認したいと要求することに対して不快に感じることはありません。この要求に対して不満を示すか、プレッシャーをかける相手は、明確な信号そのものです。この習慣は面倒に見えるかもしれませんが、本質的には、ソーシャルエンジニアリング攻撃が最も依存する部分を切断します。それは、相手に全てのインタラクションのペースと緊急感をコントロールさせることです。

ディープフェイク技術はソーシャルエンジニアリング攻撃をより防ぎにくくしているのか?

はい、そしてこのトレンドは過去数年で理論的なレベルから実際のケースに移行しています。2024年、香港でディープフェイクを利用して企業の財務担当者を誑かす事例が発生しました。攻撃者は複数の上級管理職が参加する会議を模倣し、財務担当者に大規模な振込を実行させるよう求め、損失額は2億香港ドルに達しました。 ディープフェイク技術は視覚と音声の信頼性を評価する信頼できる基準ではなく、これによりソーシャルエンジニアリング攻撃の難易度が大幅に下がり、従来のビデオで身元確認を求めるという提案がある場合には、特定の状況で意味を失うことがあります。このトレンドに対処するため、企業レベルでは単一の判断に依存しない承認プロセスを構築する必要があり、個人はお金やセンシティブ情報を伴う要求に対してより高い検証基準を持つ必要があります。相手がどれほど信頼できる見た目であるかにかかわらず。

重要なポイント: ソーシャルエンジニアリング攻撃の成功率が高い理由は、システムではなく、圧力や権威に直面したときの人間の判断のバイアスを攻撃するからです。この論理を理解すること自体が、最も効果的な防御の出発点です。