公開日: 2006年12月25日
ダウンロード
『How to Protect Insiders from Social Engineering Threats』(英語) をダウンロードする
トピック
付録 1: ソーシャル エンジニアリングの脅威に関するセキュリティ ポリシー チェックリスト
はじめに
この文書は、中規模ビジネス セキュリティ ガイダンスの一部として提供されています。 Microsoft は、次の情報を得ることでさらにセキュリティが強化され、より生産性の高いコンピュータ環境が皆様の組織で実現されることを望んでいます。
対象読者
この文書では、ソーシャル エンジニアリングによってもたらされる脅威に関するセキュリティ管理情報およびソーシャル エンジニアリング攻撃に対抗するための防御策を紹介します。 ソーシャル エンジニアリングとは、企業のセキュリティに対する技術を使った脅威以外の脅威を主に指します。 このような潜在的な脅威には多様な種類があるため、脅威に関する情報とそれに対する予防策を、次のような管理職から技術スタッフまで、社内で幅広く提供する必要があります。
取締役員
技術運用およびサービス マネージャ
サポート スタッフ
セキュリティ スタッフ
ビジネス マネージャ
概要
ソーシャル エンジニアリング ハッカーが組織を攻撃しようとする場合、組織のスタッフは、簡単に人を信じたり、ちょっとした確認を怠ること、または礼儀正しさや熱心な社員であることさえ利用される恐れがあります。 この点に、ソーシャル エンジニアリング攻撃を防御する難しさがあります。攻撃の対象となる人がだまされたことに気付いていなかったり、だまされたことを他の人に対して認めたがらなかったりする場合があるからです。 ソーシャル エンジニアリング ハッカー (ユーザーのコンピュータ システムに不正にアクセスしようとする攻撃者) の目標は、他のハッカーと同様に、 企業の金融資産、情報、または IT リソースです。
ソーシャル エンジニアリング ハッカーは、スタッフを信じ込ませて、企業のシステムやシステム リソースを使用できる情報を聞き出そうとします。 従来、このような方法は信用詐欺と呼ばれています。 多くの中小企業では、ハッカーによる攻撃は多額の報酬が支払われる大企業や大規模組織の問題だと思われています。 過去にはそうだったかもしれませんが、サイバー犯罪の増加に伴い、今ではハッカーは企業から個人まで社会のあらゆる単位を標的としています。 犯罪者は、企業から直接資金やリソースを盗んで流用する場合もありますが、企業を拠点として利用し、そこからまた別の人への犯罪を実行する場合もあります。 このような場合、当局がこうした犯罪を追跡することは一層難しくなります。
スタッフをソーシャル エンジニアリング攻撃から守るために、予測される攻撃の種類を知り、攻撃者の目的を理解し、組織が被害にあった場合の損害の規模を推定する必要があります。 こうこしたことを知っておくと、ソーシャル エンジニアリング攻撃に対する防御を組み込んでセキュリティ ポリシーを強化することができます。 この文書では、企業の情報資産、リソース、およびスタッフを技術的な攻撃や物理的な攻撃から守るために必要と考える目標、措置および手順を定めたセキュリティ ポリシーが、組織として設定されていることを前提としています。 既存のセキュリティ ポリシーに変更を加えることにより、人やコンピュータ アプリケーションによって、ビジネス リソースやセキュリティ情報を無理に聞き出そうとされたり、あるいはそのように説得される状況に直面した場合どのように対処すればよいかについてのガイダンスをスタッフに提供できます。
ソーシャル エンジニアリングの脅威および防御
ソーシャル エンジニアリング ハッカーが利用する主な攻撃の方法には、次の 5 種類があります。
オンライン
電話
廃棄物の収集
個人的アプローチ
リバース ソーシャル エンジニアリング
このような手口を知っておくほかに、ハッカーが得ようとする目的が何かを理解する必要があります。 ハッカーの目的は、お金、社会への進出、自尊心など、誰でも持っている欲望に基づいています。 ハッカーは、お金やリソースを盗んで、社会や仲間内で認められたり、自尊心が満たされることを望んでいます。 残念ながら、ハッカーはこうした目標を窃盗やコンピュータ システムに損害を与えるという不正な方法で達成します。 どんな種類の攻撃も、売り上げ、リソース、情報、ビジネスの提供機会、あるいはビジネスの信用の損失という形で金銭的な損害をもたらします。 このような脅威に対する防御策を講じる場合、攻撃によって生じる損害を推定する必要があります。
オンラインの脅威
オンライン接続が増加した現代のビジネス社会では、スタッフが社内や社外から電子的な手段で受け取る要求や情報を利用したり、これらに応答したりすることがよくあります。 この接続性を利用して、ハッカーは相対的に匿名なインターネットからスタッフに近付きます。 オンライン攻撃については、報道でよく耳にすると思います。これには、電子メール、ポップアップ アプリケーションおよびインスタント メッセージなどによる攻撃があり、マルウェアと総称されるトロイの木馬、ワーム、ウイルスを利用してコンピュータ リソースに損害を与えたり、作業を妨害したりします。 こうしたマルウェア攻撃に対しては、第一に強力な対ウイルス防御を導入することによって、その多くに対処することができます。
注 対ウイルス防御について詳しくは、「対ウイルス多層防御ガイド」を参照してください。
ソーシャル エンジニアリング ハッカーは、直接の攻撃によってコンピュータをマルウェアに感染させるのではなく、一見信頼できそうな方法でスタッフから情報を取得しようとします。 ハッカーは、攻撃によって得た情報を利用して次にマルウェア攻撃を実行する可能性がありますが、これはソーシャル エンジニアリング攻撃ではありません。 このため、スタッフにはオンラインのソーシャル エンジニアリング攻撃を見分け、回避する最善の方法を教える必要があります。
電子メールの脅威
多くのスタッフは、ビジネスおよびプライベートの電子メール システムの両方から 1 日に何十通、何百通もの電子メールを受け取ります。 これだけの量の電子メールを受け取ると、1 つ 1 つのメッセージに十分な注意を払うことが難しくなります。 これは、ソーシャル エンジニアリング ハッカーにとっては非常に都合のいいことです。 たいていの電子メール ユーザーは、メールのやり取りをするといい気分になります。メールの送受信は、紙の書類を受信トレイから送信トレイに移動するのを電子的に行うようなものです。 ハッカーが簡単に処理できる単純な要求をした場合、ターゲットとなるユーザーは自分が何をしているかも考えずに黙って要求に従ってしまうことがよくあります。
このような簡単な攻撃の例として、上司がミーティングを開催するために休暇の予定をすべて電子メールで知らせ、そのメールをリストに記載された全員に CC で送るように言っているという内容の電子メールをスタッフの 1 人に送信する方法があります。 コピー リストに部外者の名前を追加し、送信者の名前を偽装すれば、簡単にメールが社内から送信されたように見せかけることができます。 ハッカーが企業のコンピュータ システムにアクセスできる場合、境界ファイアウォールを破る必要がないため、なりすましは特に簡単です。 部門別の休暇の予定を知られることがセキュリティの脅威になるとは思えないかもしれませんが、このことから、ハッカーにはスタッフのメンバがいつ出社していないかが分かります。 すると、ハッカーはこの人物になりすましても発覚する恐れが少ないということになります。
この 10 年の間に、電子メールを使ったソーシャル エンジニアリング攻撃が増大しました。 フィッシングとは、電子メールを使用して、個人情報や身元を特定できる情報をユーザーから取得することです。 たとえばハッカーは、銀行やパートナー企業など身元の明らかな組織から発信されたように見える電子メール メッセージを送信します。
次の図は、一見 Contoso アカウント管理サイトへの正当なリンクに見えます。
図 1. 電子メール フィッシングで使われるハイパーリンク
しかし、よく見れば、次の 2 つの点が違うことがわかります。
メール内のテキストはサイトが安全で、https を使用していると言っていますが、ツールヒントには、サイトが実際には http を使用していることが示されています。
メールに記載された会社名は Contoso ですが、リンクは Comtoso という名前の会社に接続するようになっています。
フィッシングという言葉が暗示するように、このような方法は通常推測的で、顧客の情報を求めるごく一般的な内容になっています。 電子メールで使用されるリアルな偽装では、会社のロゴ、フォント、さらには実在する番号に見えるフリーダイヤルのヘルプデスクのサポート電話番号が使用され、その電子メールをますます信頼できるものに見せています。 フィッシングの電子メールでは、アップグレードや追加のサービスを容易にするためと称してユーザー情報を求めることがよくあります。 フィッシングがさらに巧妙化したのが、スピア フィッシングです。スピア フィッシングでは、特定の人物や部門が狙われます。 この方法では偽装を本物らしく見せるために個人情報や関連する企業情報が必要であるため、はるかに巧妙であると言えます。 この方法ではターゲットについてより多くの情報が必要になりますが、成功すればより具体的で詳細な情報を引き出すことができます。
電子メールには、スタッフに組織のセキュリティを破らせるように仕向けるハイパーリンクが付いている場合もあります。 図 1 に示したように、リンクは必ずしもユーザーが思った場所やそこに示された場所に接続するとは限りません。 フィッシングの電子メールでハッカーが使用する方法にはさまざまなものがあり、たとえばイメージが、ウイルスやスパイウェアなどのマルウェアをダウンロードするハイパーリンクになっていたり、イメージ内のテキストが、ハイパーリンクのセキュリティ フィルタをすり抜けるために使用されたりします。
ほとんどのセキュリティ手段では、権限のないユーザーを排除できます。 ハッカーは、ユーザーをだましてリンク経由で企業にトロイの木馬、ワーム、ウイルスなどを持ち込むことができれば、多くの防御をすり抜けることができます。 ハイパーリンクでユーザーをサイトに誘導し、ポップアップ アプリケーションを使用して情報を要求したり、サポートを提供することもできます。
次の表に示すように、攻撃方法、攻撃の目標、説明、企業が負担するコストのマトリックスを使用して、攻撃を分類し、企業に対するリスクを明確にすることができます。 1 つの脅威が複数のリスクを表す場合があります。 そのような場合、次の例では主要なリスクを太字で表しています。
表 1. オンラインの電子メールによる攻撃およびコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
企業情報の不正入手 | ハッカーは社内ユーザーになりすまして、企業情報を手に入れます。 | 機密情報 企業の信用 |
財務情報の不正入手 | ハッカーは、フィッシング (またはスピア フィッシング) のテクニックを使用して、アカウントの詳細など、企業の機密情報を要求します。 | 金銭 機密情報 企業の信用 |
マルウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワークをマルウェアに感染させます。 | ビジネス機会 企業の信用 |
ハッカーのソフトウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワーク リソースを使用するハッカーのプログラムをダウンロードさせます。 | リソース 企業の信用 金銭 |
ほとんどの信用詐欺と同様、ソーシャル エンジニアリング攻撃に対抗する最も効果的な方法は、予期しないものを受信した場合にまず疑うことです。 このことを組織内で徹底するため、セキュリティ ポリシーに、次の内容を含む電子メールの使い方のガイドラインを特に含める必要があります。
文書内の添付ファイル
文書内のハイパーリンク
社内からの個人情報または企業情報の要求
社外からの個人情報または企業情報の要求
これらのガイドラインに加えて、フィッシング攻撃の例を含める必要があります。 ユーザーはフィッシング詐欺を 1 つ認識すれば、他のフィッシング詐欺をより簡単に見分けられるようになります。
ポップアップ アプリケーションおよびダイアログ ボックス
スタッフが仕事以外の目的で組織のインターネット アクセスを利用することはないと考えるのは現実的ではありません。 たいていの従業員は、オンライン ショッピングや調べ物など、個人的な理由で Web サイトをブラウズすることがあります。 個人的なブラウジングが、従業員、すなわちその企業のコンピュータ システムと一般のソーシャル エンジニアリング ハッカーとの接点になる可能性があります。 このようなソーシャル エンジニアリング ハッカーは特定の企業をターゲットにしているわけではないかもしれませんが、スタッフを利用して、その企業のリソースにアクセスしようとします。 最も一般的な目標の 1 つは、ユーザーのコンピュータ環境にメール エンジンを埋め込んで、そこから他の企業や個人にフィッシングやその他の電子メール攻撃をしかけることができるようにすることです。
次の図のハイパーリンクはセキュリティ保護されたアカウント管理サイト (secure.contosa.com account_id?Amendments) へのリンクに見えますが、ステータス バーにはハッカーのサイトに誘導していることが示されています。 ユーザーが使用するブラウザによっては、ハッカーはステータス バーの情報を非表示にしたり、フォーマットを変えることができます。
図 2. Web ページのフィッシング ハイパーリンク
ユーザーにダイアログ ボックス内のボタンをクリックさせるために最もよく使われる方法には、実際のものとそっくりなオペレーティング システムやアプリケーションからのエラー メッセージを表示して問題を警告するという方法と、ユーザーのコンピュータを高速にする無料ダウンロードなどの追加サービスを提供するという方法の 2 つがあります。 熟練した IT ユーザーや Web ユーザーにとっては、こうした方法は見え透いた詐欺に見えるかもしれません。 しかし、初心者ユーザーにとっては、このようなポップアップ アプリケーションまたはダイアログ ボックスは脅迫的であったり、または魅力的に思われる場合があります。
表 2. オンラインのポップアップおよびダイアログ ボックス攻撃およびコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
個人情報の不正入手 | ハッカーがスタッフの個人情報を要求します | 機密情報 金銭 (スタッフ) |
マルウェアのダウンロード | ハイパーリンクをクリックしたり、添付ファイルを開くようにユーザーを誘導します | ビジネス機会 企業の信用 |
ハッカーのソフトウェアのダウンロード | ハイパーリンクをクリックしたり、添付ファイルを開くようにユーザーを誘導します | リソース 企業の信用 金銭 |
ユーザーをソーシャル エンジニアリングのポップアップ アプリケーションから保護できるかどうかは、ほとんどは意識の問題です。 この問題を回避するには、ブラウザの既定の構成をポップアップや自動ダウンロードをブロックするように設定する方法がありますが、ポップアップによっては、ブラウザの設定をすり抜ける場合があります。 ユーザーがサポート スタッフに確認せずにポップアップをクリックしてはいけないことを徹底すれば、さらに効果的です。 したがって、ビジネス スタッフは、Web サイトをブラウズしていた場合そのことでサポート スタッフに非難されないことを信頼できる必要があります。 この信頼関係は、個人によるインターネットのブラウジングに関する組織のポリシーによって左右される場合があります。
インスタント メッセージング
インスタント メッセージング (IM) は比較的新しい通信手段ですが、ビジネス ツールとして広く普及し、2006 年の IM 製品のユーザーは 2 億人に達すると予測するアナリストもいます。即時性と使いやすさのため、IM はソーシャル エンジニアリング攻撃の絶好の対象となっています。これは、ユーザーが IM を電話と同じようなものとみなして、コンピュータ ソフトウェアの脅威の可能性と結びつけて考えないためです。 IM を利用した主な攻撃には、IM メッセージにマルウェアへのリンクを貼り付ける方法と、実際のファイルを添付する方法の 2 つがあります。 もちろん、IM を使って単純に情報を求める攻撃もあります。
ソーシャル エンジニアリングの問題に取り組む場合に、IM に固有の潜在的な脅威がいくつかあります。 第 1 は IM のインフォーマルな性質です。 IM にはそのチャット的な性格から偽名を使えるオプションもあり、自分の話し相手の人物が本人であるかどうかが必ずしも明らかではありません。このことは、簡単になりすましができる可能性を大幅に拡大させます。
次の図は、電子メールと IM でなりすましがどのように行われるかを示しています。
図 3. インスタント メッセージングおよび電子メールによるなりすまし
ハッカー (赤) は別の既知のユーザーになりすまして電子メールまたは IM メッセージを送信し、ターゲットはそのメッセージを知っている人物から来たものと思い込みます。 知人 (実はそう思い込んでいる別人) からのメールであることで警戒心がゆるみ、そのメールにあるリンクをクリックしたり、添付ファイルを開く可能性が高くなります。 ほとんどの IM プロバイダは、電子メール アドレスによりユーザーを識別しているため、企業内のアドレス基準を特定したハッカーは、組織内の他のユーザーに IM 接続の招待状を送信できます。 この機能は脅威を生み出すものではありませんが、社内のターゲットが大幅に増えることを意味します。
表 3. インスタント メッセージング攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
企業の機密情報の要求 | ハッカーは、IM のなりすましを利用して同僚を偽装し、ビジネス情報を手に入れます。 | 機密情報 企業の信用 |
マルウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワークをマルウェアに感染させます。 | ビジネス機会 企業の信用 |
ハッカーのソフトウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワーク リソースを使用するハッカーのプログラム (メール エンジンなど) をダウンロードさせます。 | リソース 企業の信用 金銭 |
IM の即時性とコスト削減効果を取り入れることに不安がある場合は、特に IM の防御を目的としたセキュリティ ポリシーを設定する必要があります。 企業内で IM を管理するには、次の 5 つの使用規則を確立する必要があります。
単一の IM プラットフォームを標準とする。 この規則により、サポートの労力が最小になり、ユーザーは独自の個人用 IM プロバイダを使用してチャットしようとしなくなります。 さらに管理されたアプローチでユーザーの選択を制限したい場合は、一般的な IM サービスで使用されるポートをブロックする方法もあります。
配布のセキュリティ設定を定める。 IM クライアントは、ウイルス スキャンなどの幅広いセキュリティおよびプライバシー オプションを提供しています。
接続ガイドラインを設定する。 ユーザーが、既定では新しい接続先の招待状を受け入れないように推奨します。
パスワード基準を設定する。 IM パスワードがホストのパスワードに設定した強力なパスワード基準に適合するようにします。
使い方のガイドラインを提供する。 ユーザー向けのベスト プラクティス ガイドラインを作成し、推奨事項の背景にある理由を説明します。
電話ベースの脅威
電話は、ソーシャル エンジニアリング ハッカーに独自の攻撃方法を提供します。 電話は使い慣れたメディアですが、ターゲットがハッカーを見ることができないため、偽装しやすいメディアでもあります。 ほとんどのコンピュータ システムの通信オプションも、構内交換機 (PBX) を魅力的な攻撃対象とする原因になります。 もう 1 つは、かなり原始的な方法ですが、電話ボックスでクレジット カードまたはテレフォン カードの PIN を盗む攻撃があります。 この攻撃は個人からの窃盗が最も一般的ですが、企業のクレジット カードも対象となります。 たいていの場合、ATM を利用するときはのぞき見に気を付けますが、電話ボックスで PIN を使用するときはそれほど注意しません。
VoIP (Voice over Internet Protocol) は、企業にとって費用対効果の高い成長市場です。 現在は、導入されている数が比較的少ないため、VoIP のハッキングは大きな脅威とは考えられていません。 しかし、企業のこのテクノロジの導入が進むにつれ、VoIP でのなりすましは、現在の電子メールや IM のなりすましと同じように広まっていくと考えられます。
構内交換機 (PBX) PBX を攻撃するハッカーの主な目標には、次の 3 つがあります。
通常は正規ユーザーになりすますことにより、電話システムそのものにアクセスするか、コンピュータ システムにリモートからアクセスするための情報を要求する。
無料で電話を使用する。
通信ネットワークにアクセスする。
これらの目標はいわば 1 つのテーマのバリエーションで、目的はハッカーが企業に電話をかけ、PBX に直接アクセスするか PBX 経由で公衆電話回線網にアクセスできる電話番号を取得しようとすることにあります。 このような攻撃をハッカー用語では、フリーキングと言います。 ハッカーが最もよく使うのは、電話技師になりすまし、社内の電話システムについて報告された問題を分析し、解決するために、外線またはパスワードを要求する方法です。これを次の図に示します。
図 4. 電話を使った PBX 攻撃
電話で情報を要求したりアクセスを試みる方法は、比較的リスクのない攻撃です。 ターゲットが疑いを持ったり、要求に従うことを拒否すれば、ハッカーは単純に電話を切ればすみます。 しかしこのような攻撃は、ハッカーが単純に企業に電話をかけ、ユーザー ID とパスワードを聞くというような単純なものではありません。 ハッカーは通常、シナリオを用意し、支援を求めたり、逆に提供したりしてから、ついでのように個人情報や企業情報をたずねます。
表 4. 構内交換機による攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
企業情報の要求 | ハッカーは正規ユーザーになりすまして、機密情報を取得します。 | 機密情報 企業の信用 |
電話情報の要求 | ハッカーは電話技師になりすまして、外線電話をかけるために PBX にアクセスします。 | リソース 金銭 |
PBX を利用したコンピュータ システムへのアクセス | ハッカーは PBX 経由でコンピュータ システムにアクセスし、情報を盗むか操作したり、マルウェアに感染させたり、リソースを使用したりします。 |
ほとんどのユーザーは、電話機そのものの向こう側にある社内電話システムについて何も知りません。 このことは、セキュリティ ポリシーに組み込む防御の最も重要な部分です。 この場合、ハッカーがターゲットにするのは一般ユーザーではありません。 最もよくあるターゲットは、受付または交換台のスタッフです。 電話会社にサポートを提供する権限があるのは、サービス デスクだけであることを明確にする必要があります。 こうすることで、権限のある担当者のみがエンジニアリング サポートの電話に応対するようになります。 このアプローチにより、ターゲットになったスタッフは、このような問い合わせをすばやく効率的に権限のあるスタッフに転送することができます。
サービス デスク
サービス デスク (またはヘルプ デスク) は、ハッカーに対する主要な防御の 1 つですが、逆にソーシャル エンジニアリング ハッカーのターゲットでもあります。 サポート スタッフはハッキングの脅威をよく認識していますが、同時に、電話をかけてきた人をサポートし、アドバイスを与え、問題を解決するように訓練されてもいます。 時には、テクニカル サポート スタッフが問題を解決しようとする熱意が、セキュリティ手順を守る責任と矛盾し、サービス デスクのスタッフをジレンマに陥らせます。 サポート スタッフが厳格なセキュリティ基準を適用して、要求や質問が正規のユーザーからのものであるという証明を求めれば、不親切な印象を与え、業務の妨害をするようにさえ思われかねません。 生産、営業およびマーケティング スタッフからは、IT 部門が必要なサポートをすぐにしてくれないという不満が起こり、上級管理者が身元の証明を求められれば、サポート スタッフの完璧主義を快くは思いません。
表 5. サービス デスクへの電話による攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
情報の要求 | ハッカーは正規ユーザーになりすまして、企業情報を取得します。 | 機密情報 |
アクセスの要求 | ハッカーは、正規ユーザーになりすまして、ビジネス システムへのセキュリティ アクセスを獲得しようとします。 | 機密情報 企業の信用 ビジネス機会 リソース 金銭 |
サービス デスクはセキュリティとビジネス効率のバランスを取る必要があり、そのためにセキュリティ ポリシーやセキュリティ手順によるサポートが必要です。 従業員番号、部署名、上司の名前を言うなどの ID の証明は、誰もが知るとおり、サービス デスクのアナリストにとって過大な要求ではありません。 こういった証明も、ハッカーがこれらの情報を盗んでいる可能性があるため完全に安全であるとは言えませんが、 少なくとも現実的なスタート地点ではあります。 実際、99.99 パーセント正確な ID の証明は、DNA 採取テストだけですが、これは明らかに現実的ではありません。
サービス デスクのアナリストを従業員または契約社員のハッカーから守るのはさらに難しいことです。 このようなハッカーは、社内の手続きについて実際的な知識を持っており、必要な情報がすべてそろったことを十分に確認したうえでサービス デスクに電話をかけてきます。 このような状況に対応し、セキュリティ手順には二重の役割を設定する必要があります。
サービス デスクのアナリストは、すべての操作について監査記録が作成されるようにする必要があります。 ハッカーがサービス デスクへの電話によって情報やリソースへの不正アクセスに成功した場合、サービス デスクはすべての動作を記録して、迅速に修正したり、限定的な被害に抑える必要があります。 サービス デスクに電話すると、問題やデスクへの依頼の内容を示す電子メール メッセージが自動または手動で送信されるようにしておくと、ID を盗まれた従業員が盗用の事実に気付き、すぐにサービス デスクに連絡することができます。
サービス デスクのアナリストは、電話の種類の処理方法について、正しく構成された手順を持つ必要があります。 たとえばこのアナリストの上司が、アクセスに関する変更要求を電子メールでしなければならない場合も、セキュリティ レベルに対して、許可されない、または手順にない変更があってはなりません。
ユーザーがこのような規則をよく理解し、管理部門がこの規則の導入を支援すれば、ハッカーが侵入に成功したり、見つからないままでいることははるかに難しくなります。 360 度の監査記録は、不正な行為の防止と発見に最も有効なツールです。
廃棄物の収集の脅威
廃棄物の違法な分析 (よく使われる用語で言えば、ダンプスター ダイビング) は、ハッカーにとって貴重な活動です。 廃棄されたビジネス書類には、使われなくなったアカウント番号やユーザー ID などハッカーにとってすぐに利益につながるもの、または電話番号リストや組織図などのように背景情報として役立つものが含まれている場合があります。 後者のタイプの情報はソーシャル エンジニアリング ハッカーにとって非常に貴重です。攻撃を開始するときに、自分を信用できる人物に見せかけることができるからです。 たとえば、ハッカーが組織の部署のスタッフについて実際的な知識を持っているように見えれば、たいていのスタッフは、組織についてよく知っている人を本当の従業員であると思い込みますから、攻撃の成功率が高くなります。
電子メディアはさらに役に立つ場合があります。 余分なメディアの廃棄に関する廃棄物管理規則が企業にない場合、破棄されたハード ディスク ドライブ、CD および DVD であらゆる種類の情報を見つけることができます。 固定およびリムーバブル メディアの強固な性質を考慮し、IT セキュリティを管理する担当者は、データの消去や破壊手順を含めたメディア管理ポリシーを規定する必要があります。
表 6: 廃棄物の収集による攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
外部のごみ箱に捨てられた廃棄書類 | ハッカーは外部に置かれたごみ容器から廃棄書類を持ち去り、企業情報を盗みます。 | 機密情報 企業の信用 |
社内のごみ箱に捨てられた廃棄書類 | ハッカーは外部廃棄書類の管理に関するガイドラインを無視して、社内のごみ箱から廃棄書類を持ち去ります。 | 機密情報 企業の信用 |
電子メディアの廃棄 | ハッカーは、破棄された電子メディアから情報やアプリケーションを盗み出します。 メディアそのものも盗みます。 | 機密情報 リソース 企業の信用 |
スタッフは、廃棄書類や電子メディアをごみ箱に捨てることの意味を十分に理解する必要があります。 この廃棄物が建物の外へ出れば、所有権は法律上はあいまいになります。 ダンプスター ダイビング (ごみ箱あさり) は、どのような状況でも違法とはみなされない可能性があるため、必ずスタッフに廃棄物の取り扱い方法を指示する必要があります。 廃棄書類は必ずシュレッダーにかけ、磁気メディアは消去または破壊します。 電話帳のように、廃棄物が大きすぎるか頑丈すぎてシュレッダーに入らない場合や、実際上ユーザーが破壊することが無理な場合は、特別な廃棄基準を作成する必要があります。 また、ごみ箱は一般の人が近寄れない安全な場所に設置する必要があります。
廃棄物管理ポリシーを設計する場合、健康と安全に関する地域の条例に必ず従うことが重要です。 また、環境に配慮した廃棄物管理戦略を採用することが社会的に重要でもあります。
社外に捨てる廃棄物 (社外の人間が書類や電子メディアを利用する可能性があります) のほかに、社内の廃棄物も管理する必要があります。 セキュリティ ポリシーではこの点がよく見落とされていますが、これは、企業への立ち入りを許可された人は信頼できると思われがちだからです。 しかし、常に信頼できるわけではないことは明らかです。 廃棄書類の管理に最も効果的な手段は、データの分類を指定することです。 紙ベースの情報についていくつかのカテゴリを定め、カテゴリ別に廃棄の方法を指定します。 カテゴリの例としては、次のようなものがあります。
社外秘。 社外秘の廃棄書類は、すべてシュレッダーにかけてからごみ箱に捨てます。
プライベート。 プライベートの廃棄書類は、すべてシュレッダーにかけてからごみ箱に捨てます。
部署。 部署から出る廃棄書類は、すべてシュレッダーにかけてから公共のごみ容器に捨てます。
一般。 一般の廃棄書類は、ごみ箱に捨てるか、古紙としてリサイクルします。
データ分類の作成の詳細については、Microsoft® TechNet の「Service Management Functions」(英語) を参照してください。
個人的アプローチ
ハッカーが情報を取得する最も簡単で安上がりな方法は、直接情報を聞き出すことです。 これは原始的であからさまな方法に思えますが、昔から信用詐欺の基本です。 主に次の 4 つの方法が手口としてよく使われます。
脅迫。 この方法では、権威者を装ってターゲットを要求に従わせる場合があります。
説得。 最もよく使われる手口としては、お世辞やネーム ドロッピング (有名人が知人であるかのように振る舞うこと) があります。
迎合。 この方法は通常、長期間にわたって部下や同僚から信頼を得る関係を築き、最終的にターゲットから情報を取得します。
援助。 この方法では、ハッカーがターゲットに援助を申し出ます。 この援助は、最終的にはターゲットの個人情報の漏えいを目的とするもので、この情報を利用してハッカーはターゲットの ID を盗むことができます。
たいていの人は自分に話しかけてくる人を信用できると考えますが、これは興味深いことです。なぜならほとんどの人が、自分は嘘をつくと認めている事実があるからです (*『The Lying Ape: An Honest Guide to a World of Deception』*Brian King、Icon Books Limited)。 無条件に他人を信頼することは、ソーシャル エンジニアリング ハッカーに狙われる点の 1 つです。
この種の個人的アプローチに対してユーザーを防御することは非常に困難です。 上記の 4 つの攻撃のいずれかを使用して自然にソーシャル エンジニアリングを行なう傾向のあるユーザーもいます。 脅迫攻撃に対する防御策は、企業内に「恐れない」文化を作ることです。 通常の態度が丁寧であれば、脅迫が成功する可能性は小さくなります。個々のスタッフは対立するような状況があれば上に報告する傾向があるからです。 管理や監督の役割を持つ人が問題の上申や意思決定を支援する態度を取ることは、ソーシャル エンジニアリング ハッカーにとって最悪の状況です。 ハッカーの目標は、ターゲットにすばやい決定を促すことにあります。 問題が上位の部署に報告されれば、ハッカーが目標を達成する可能性は低くなります。
説得は、昔から人が個人の目標を達成するための重要な手段です。 従業員の間でこれを操作することはできませんが、各人がするべきこととしてはいけないことについて厳格なガイダンスを規定することはできます。 ハッカーは常にシナリオを用意し、ターゲットのユーザーが部外秘の情報を自分から言うように仕向けます。 継続的な意識向上キャンペーンや、パスワードなどのセキュリティ デバイスについて定めた基本ガイダンスを作成することは、最良の防御手段となります。
ハッカーは、ユーザーに取り入るために時間を必要とします。 ハッカーは定期的にユーザーに接触する必要があり、ほとんどの場合同僚社員という形を取ってこれを実行します。 たいていの中規模企業では、同僚による主要な脅威は、定期的なサービスや契約社員から生じます。 人事採用部門では、契約社員を採用する際、正社員の採用と同様のセキュリティに関する十分な審査を行う必要があります。 この審査の作業のほとんどは、派遣元の会社に委託できます。 派遣元で十分な審査が行われるようにするために、自社の正社員採用で実施している審査のポリシーに従うように派遣元に依頼する方法もあります。 ソーシャル エンジニアリング ハッカーが正社員として雇用された場合、最善の防御策はスタッフの自覚と、スタッフが情報セキュリティに関するセキュリティ ポリシー規則を遵守することです。
最後に、援助による攻撃は、効率的なサービス デスクがあれば最小にすることができます。 社内アシスタントは、組織の既存のサポート サービスに対する不満の結果として生まれることがよくあります。 スタッフが権限を持たない社内の専門家や、さらに悪いことには社外の専門家に問い合わせるのではなく、必ずサービス デスクに問い合わせるようにするために、次の 2 つの点を強化する必要があります。
セキュリティ ポリシーで、サービス デスクがユーザーが問題を報告する唯一の窓口であることを指定します。
サービス デスクに部署のサービス レベル契約内で合意された応答プロセスがあることを確認します。 サービス デスクの実績を定期的に監査し、ユーザーが適切なレベルの応答とソリューションを受けていることを確認します。
サービス デスクの重要性を過小評価するべきではありません。サービス デスクは、ソーシャル エンジニアリング攻撃に対する最初のレベルの防御となります。
仮想的なアプローチ ソーシャル エンジニアリング ハッカーは、攻撃を実行するために、ターゲットと接触する必要があります。 この接触は、電子メール メッセージやポップアップ ウィンドウなどの電子的な手段で行なわれるのが最も一般的です。 たいていの個人のメールボックスには大量のジャンク メールやスパム メールが届くことが、この攻撃方法の成功率を低くしています。ユーザーは、チェーン メールや「合法的」でもうかる取引への勧誘などのメールに対して、より疑い深くなっているからです。 それにもかかわらず、このようなメールが大量に送信され、トロイの木馬メール エンジンが使用されていることは、これらの方法が、成功率は低くても、一部のハッカーにとってはまだ魅力的であることを示しています。 これらの攻撃のほとんどは個人を狙った攻撃で、ターゲットの ID に関する情報を引き出すことを目的としています。 しかし、企業にとっては、コンピュータやインターネット アクセスなどのビジネス システムの不正な個人使用が拡大すれば、ハッカーが企業ネットワークに侵入する機会を与えることになります。
電話はより個人的な攻撃方法で、発生件数はそれほど多くありません。 逮捕されるリスクが少ないため、一部のハッカーは電話を攻撃の手段として使用しますが、この方法は主に PBX やサービス デスクの攻撃を狙ったものです。たいていの場合、個人的に知らない人物から電話で個人情報を聞かれても教える人はいません。
物理的なアプローチ それほど一般的ではありませんが、ハッカーにとってはより効果的なのが、ターゲットと直接、個人的に接触する方法です。 よほど疑い深い人でなければ、オフィスにいる人がコンピュータ システムについて助けを求めたり、逆に申し出たりすれば、その人が社員ではないとは思わないでしょう。 この方法では、攻撃者にとってのリスクははるかに大きくなりますが、利点も明らかです。 ハッカーは、あらゆる技術的な境界防御の内側に入り込み、社内のコンピュータ システムに自由にアクセスできます。
ユーザーが移動中や自宅から会社のネットワークに接続できるモバイル テクノロジの利用が増大していることも、企業の IT リソースにとって大きな脅威となっています。 可能な攻撃の例として、ハッカーが電車内でモバイル コンピュータを使っている人の肩越しにユーザー ID やパスワードを盗み見る単純な攻撃があります。もっと巧妙な方法では、非常に親切なサービス エンジニアがカード リーダーやルーターのアップグレード品を持ち運んで設置し、ユーザーの ID とパスワードをたずね、ついでに 1 杯のコーヒーまで依頼して企業ネットワークにアクセスするというケースまであります。 さらに徹底したハッカーの場合は、ユーザーに認証用の署名を依頼することさえあります。こうして、ユーザーの署名まで手に入れてしまうのです。 この種類の攻撃には、近所に住む人が、会社が料金を支払う帯域幅を利用して、保護されていない無線 LAN 経由でインターネットにアクセスする例もあります。
ほとんどの大企業には、高度に開発されたサイト セキュリティ インフラストラクチャがありますが、中小企業では建物へのアクセスに関して、比較的規制がゆるやかな場合があります。 権限のない人間がオフィスに入る人に付いて行く尾行は、非常に簡単なソーシャル エンジニアリング攻撃です。 侵入者がドアを開けて権限のあるユーザーを先に通し、そのユーザーと天気や週末のスポーツの話をしながら、一緒に受付を通り過ぎます。 この方法は、各人がカードを機械に通して入館する仕組みになっている大企業や、社員全員が顔見知りの小さな企業ではうまくいきません。 しかし、従業員が千人程度で、顔を知らない社員がいても当たり前というような会社には非常に適しています。 侵入者があらかじめ部署名、スタッフの名前、社内メモの情報などの企業情報を手に入れていた場合、相手の注意をそらすための会話はさらにもっともらしく思われます。
在宅勤務者のセキュリティは、通常、テクノロジによって制限されています。 セキュリティ ポリシーでは、外部のハッカーがネットワークにアクセスできないようにするために、ファイアウォールを設定する必要があります。 このほかに、ほとんどの中規模企業では、在宅勤務者に自身でセキュリティを管理することや、バックアップを取ることも求めています。
表 7. 物理的なアクセスによる攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
ユーザー ID の不正入手 | ハッカーは、正規ユーザーがログオン情報やその他の詳細情報をコンピュータに入力するのを見ています。 これは、物理的なコンピュータ機器の窃盗よりも先に行なわれる可能性があります。 | 機密情報 |
在宅勤務者のユーザー ID の不正入手 | ハッカーは、IT サポート技術者や保守パートナーになりすまし、在宅勤務者のネットワークにアクセスし、アップグレードが成功したことをテストするためにユーザー ID やパスワードを要求します。 | 機密情報 |
在宅勤務者のネットワーク経由でのネットワークへの直接アクセス | ハッカーは、サポート エンジニアになりすまし、在宅勤務者のネットワーク経由で企業ネットワークにアクセスします。 このようにして、ネットワークおよび企業リソースに自由にアクセスできます。 | 機密情報 企業の信用 ビジネス機会 リソース 金銭 |
在宅勤務者のネットワークへの継続的なアクセス | ハッカーまたはローカル ユーザーが、セキュリティ保護されていないホーム ネットワーク経由で、ブロードバンド インターネットにアクセスします。 | リソース |
企業オフィスへの許可のない立ち入り | ハッカーは権限を持つ従業員を尾行して、企業オフィスに侵入します。 | 機密情報 企業の信用 ビジネス機会 金銭 リソース |
個人オフィスへの立ち入り | ハッカーは、個人オフィスに立ち入り、コンピュータ機器やファイル キャビネットなどの書類リソースを利用しようとします。 | 機密情報 リソース 金銭 |
これらの脅威に対する防御は、ユーザーが実装するベスト プラクティスによって基本的に異なります。ベスト プラクティスは企業の有効なセキュリティ ポリシーに基づいたもので、次の 3 つの領域に対応している必要があります。
企業の建物/敷地
ユーザーの自宅
モバイル ワーキング
適切な権限がなければ、会社の建物や敷地内に立ち入れないようにする必要があります。 受付スタッフは、スタッフ、契約社員および訪問者に対して、丁重ではあっても断固たる態度で応対しなければなりません。 企業のセキュリティ ポリシーにいくつかの簡単な条件を含めることによって、建物内での物理的なソーシャル エンジニアリング攻撃をほとんど不可能にすることができます。 このような条件では、たとえば次のような手段を使用します。
スタッフは、建物に出入りするときに必ず顔写真付きの ID パスを提示する。
来訪者は来訪時と退去時に記名し、応対した社員が確認の署名をする。
来訪者は日付入りの来訪者パスを常に見える場所に付けておき、退去時に受付に返却する。
契約社員は、出勤時と退出時に署名し、その契約社員を監督する立場にあるスタッフが確認の署名をする。
契約社員は日付入りの契約社員パスを常に見える場所に付けておき、退去時に受付に返却する。
来訪者が受付スタッフに見られずに入館することを防ぐため、企業はバリアを設けて来訪者が必ず受付の前を通るようにし、身元を証明したり、署名できるようにする必要があります。このバリアは、改札式であったり、来訪者が無理やりすり抜けなければならないようなものである必要はありません。
たとえば受付エリアでは、ソファなどのリラックスできるものを使用して、来訪者を受付の方へ誘導する方法があります。次に例を 2 つ示します。
図 5. 受付の例
左の受付エリアでは、権限を持たない来訪者が正規の従業員の陰に隠れて尾行する (入り込む) ことができます。 右の例では、訪問者は必ず受付の前を通らなくてはなりません。 コンピュータ端末の位置が、受付スタッフの視界の邪魔になることはありません。 受付との間は、車椅子を使用する人もゆったりと通れる広さが必要です。 受付スタッフは十分に訓練し、来訪者を迎えてチェックするときに一貫した応対をすることが重要です。 建物への入口はすべてこの基準を満たし、スタッフは正規の出入り口だけを使用して出入りするようにします (裏口があってはなりません)。
何らかの形のバリアまたはドア管理システムを設ける場合は、健康、安全、アクセシビリティの規制要件に必ず従います。
在宅の場合、すべての来客やセールスマンを認証することは現実的ではありませんが、 実際には、ほとんどの人がオフィスにいるときよりも自宅にいるときの方が来訪者を警戒します。 さらに重要なことは、攻撃によってビジネス リソースにアクセスされないようにすることです。 オフサイトの IT サービスに関する規定には、次の条件を定めた規則を含める必要があります。
テクニカル サポート活動は、オンサイト修理であれ、アップグレードであれ、必ずサポート スタッフが計画して、承認します。
契約社員や社内スタッフがオンサイト メンテナンスやインストールを行う場合は、できれば顔写真付きの身分証明書を携行します。
ユーザーは、エンジニアが到着したときと、作業が終了したときに、IT サポート部門に連絡します。
作業ごとに作業シートを作成し、ユーザーが承認します。
ユーザーは、個人のアクセス情報を教えたり、コンピュータにサイン オンしたりして、エンジニアにアクセス情報を提供する結果を招かないようにします。
この最後のポイントは重要です。 IT サービス グループのおかげで、オフサイトのエンジニアは仕事を行なうために十分な個人アクセス権を持つことができます。 エンジニアが作業を完了するのに十分なユーザー アクセス権を持っていない場合は、サービス デスクに問い合わせる必要があります。 この要件は重要です。なぜなら、コンピュータ サービス会社で階層の低いエンジニアとして働くことは、潜在的なハッカーにとっては最も利益になる仕事の 1 つだからです。 この立場では、ハッカーは技術的な権威であり、同時にサポート担当者でもあります。
モバイル ワーカーは、電車の中や駅、空港やレストランなどの混雑した環境でコンピュータを使用することがよくあります。 このような環境では、誰にも見られずに入力することはほとんど不可能ですが、企業のセキュリティ ポリシーで、個人および企業情報へのリスクを最小にする方法をアドバイスする必要があります。 スタッフが PDA を使用する場合は、セキュリティと同期化の管理に関する情報をセキュリティ ポリシーに含める必要があります。
リバース ソーシャル エンジニアリング
リバース ソーシャル エンジニアリングとは、ターゲットの方から最初にアプローチして、ハッカーが欲しがる情報を提供する状況を言います。 このような状況はありえないと思われるかもしれませんが、権威者 (特に技術的または社会的権威者) は疑いをかけられることはないため、ユーザー ID やパスワードなどの重要な個人情報を受け取ることがよくあります。 たとえば、ヘルプ デスクのスタッフが電話をかけてきた従業員にユーザー ID やパスワードをたずねることはありません。これらの情報はなくても問題を解決できるからです。 IT の問題が発生したユーザーは多くの場合、問題を早く解決するために、これらの重要なセキュリティ情報を自分から言います。 ハッカーにとっては、たずねる必要もないわけです。 このシナリオが示すように、ソーシャル エンジニアリング攻撃は決して受け身ではありません。
ソーシャル エンジニアリング攻撃は、状況を作り出し、解決策を提示し、要求に応じて援助します。これは、次のシナリオに示すように非常に簡単な場合があります。
同僚のハッカーがファイル名を変更したり、ファイルを移動したりしたため、ターゲットの従業員はそのファイルがなくなったと考えます。 ハッカーは、ファイルを戻すことができると申し出ます。 ターゲットは、仕事をどんどん進めたい、または情報の損失が自分の責任かもしれないと心配しているため、この申し出に飛びつきます。 ハッカーは、自分がターゲットとしてログオンしないとファイルを戻すことができないと説明します。 そのようなログオンは企業ポリシーで禁じられているとさえ言うかもしれません。 ターゲットは、ハッカーに自分のアカウントでログオンしてファイルを元に戻してくれるように頼みます。 ハッカーは仕方なく同意し、ファイルを元に戻し、このようにしてターゲットの ID とパスワードを盗みます。 ハッカーは、頼まれて他の同僚を助けたというように、自分で評判を作り出すことさえあります。 この方法では正規の IT サポートに連絡が行かないため、ハッカーが気づかれないままでいることができます。
リバース ソーシャル エンジニアリング攻撃を行うためには、必ずしもターゲットをよく知っていたり、ターゲットに実際に会う必要はありません。 ダイアログ ボックスを使用して問題を偽装することは、対象を特定しないリバース ソーシャル エンジニアリング攻撃で有効な場合があります。 このダイアログ ボックスには、問題が発生した、または操作を続行するには更新が必要であるなどのメッセージが表示されます。 またこのダイアログ ボックスでは、問題を解決するためのダウンロードが提供されます。 ダウンロードが完了すると、偽装された問題は発生しなくなり、ユーザーは作業を継続しますが、セキュリティを破ってマルウェア プログラムをダウンロードしてしまったことには気づきません。
表 8. リバース ソーシャル エンジニアリング攻撃とコスト
攻撃の目標 | 説明 | コスト |
---|---|---|
ID の不正入手 | ハッカーは権限のあるユーザーからユーザー ID とパスワードを受け取ります。 | 機密情報 企業の信用 ビジネス機会 金銭 リソース |
情報の不正入手 | ハッカーは権限のあるユーザーのユーザー ID とパスワードを使用して、企業のファイルにアクセスします。 | 機密情報 金銭 リソース 企業の信用 ビジネス機会 |
マルウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワークをマルウェアに感染させます。 | ビジネス機会 企業の信用 |
ハッカーのソフトウェアのダウンロード | ハッカーは、ユーザーがハイパーリンクをクリックしたり、添付ファイルを開くように仕向けて、企業のネットワーク リソースを使用するハッカーのプログラム (メール エンジンなど) をダウンロードさせます。 | リソース 企業の信用 金銭 |
リバース ソーシャル エンジニアリングに対する防御は、おそらく最も困難な課題です。 ターゲットは状況を自分の意志でコントロールしていると思っているため、ハッカーを疑う理由がありません。 主な防御策は、問題はすべてサービス デスクを通じて解決しなければならないとセキュリティ ポリシーに設定することです。 サービス デスクのスタッフが効率的かつ丁寧に対応し、批判的な態度を取らなければ、他の従業員はサービス デスクのスタッフにサポートを依頼し、権限のないスタッフや知人に援助を頼むことはなくなります。
ソーシャル エンジニアリングの脅威に対する防御を設計する
さまざまな種類の脅威について理解したら、社内のスタッフに対するソーシャル エンジニアリングの脅威に対抗する防御を設計するために 3 つの手順が必要です。 効果的な防御とはあらかじめ計画することにあります。 通常、防御は受け身的です。ユーザーは攻撃されたことを発見し、問題が再発しないように防護策を講じます。 このアプローチは、警戒していることをある程度は示しますが、発生した問題が大きく、コストが高かった場合、解決策が後手に回ったことになります。 このシナリオで事前に対応するには、次の 3 つの手順を実行する必要があります。
セキュリティ管理フレームワークを作成する。 ソーシャル エンジニアリング攻撃の対象となるセキュリティ上の項目と、これらの項目の責任を負うスタッフを定義します。
リスク管理評価を実行する。 同じ脅威でも、攻撃対象となる企業によって受けるリスクのレベルは異なります。 ソーシャル エンジニアリングの脅威を 1 つ 1 つ見直して、それぞれが自社に与える危険を判断する必要があります。
セキュリティ ポリシーにソーシャル エンジニアリングの防御を組み込む。 ソーシャル エンジニアリング攻撃の可能性がある状況にスタッフがどのように対処すればよいかを定めたポリシーおよび手順を明文化したものを作成します。 この手順は、セキュリティ ポリシーを設定していることと、それがソーシャル エンジニアリングの脅威の及ばない場所にあることを前提としています。 現在、セキュリティ ポリシーを使用していない場合は、作成する必要があります。 ソーシャル エンジニアリングのリスク評価を行って特定された項目がスタート地点になりますが、他の脅威の可能性も考慮する必要があります。
セキュリティ ポリシーの詳細については、「マイクロソフト セキュリティ ホーム」を参照してください。
セキュリティ管理フレームワークを作成する
セキュリティ管理フレームワークは、ソーシャル エンジニアリングが組織に与える可能性がある脅威について全体像を示し、これらの脅威を軽減するポリシーおよび手順の作成に責任を持つジョブの役割を指定して、スタッフに割り当てます。 この方法では、企業資産のセキュリティ確保だけを職務とする専任のスタッフを雇うというのではありません。 大規模な組織ではそういう選択肢もありますが、中規模の組織ではそのような専任スタッフの採用は難しく、また望ましくもありません。 必要なことは、何人かのグループで、次のセキュリティの役割が持つ主要な責任を引き受けるということです。
セキュリティ スポンサー。 役員レベルの上級管理者。スタッフ全員をセキュリティ業務に真剣に取り組ませる権限を持っています。
セキュリティ マネージャ。 管理職レベルの従業員。セキュリティ ポリシーの作成と維持を調整する責任者です。
IT セキュリティ管理者。 技術スタッフ。IT インフラストラクチャと運用セキュリティ ポリシーおよび手順作成の責任者です。
施設セキュリティ管理者。 施設チームのメンバ。施設と運用に関するセキュリティ ポリシーおよび手順作成の責任者です。
セキュリティ意識管理者。 管理職レベルのスタッフ (人事または人材開発部門のスタッフの場合が多い)。セキュリティ意識向上キャンペーンの作成と実行の責任者です。
このグループ (セキュリティ推進委員会) は、社内を代表してセキュリティを推進します。 セキュリティ推進委員会は、セキュリティ推進の代表として、セキュリティ管理フレームワークの主要目標を設定する必要があります。 明確に設定された目標がなければ、他のスタッフの参加を促したり、プロジェクトの成功を評価することは困難です。 セキュリティ推進委員会の最初の仕事は、社内に存在するソーシャル エンジニアリングに対する脆弱性を特定することです。 次のような簡単な表に、ソーシャル エンジニアリング攻撃の方法の概要をまとめることができます。
表 9. 社内に存在するソーシャル エンジニアリング攻撃に対する脆弱性
攻撃方法 | 社内での利用状況の説明 | コメント |
---|---|---|
オンライン | ||
電子メール | 全ユーザーがデスクトップ コンピュータ上に Microsoft Outlook® を所有している。 | |
インターネット | モバイル ユーザーは、Outlook クライアント アクセスのほかに Outlook Web Access (OWA) を所有している。 | |
ポップアップ アプリケーション | 現在、ポップアップに対する技術的な防護策は実装されていない。. | |
インスタント メッセージング | 会社はさまざまな IM 製品の使用が管理されていないことを容認している。 | |
電話 | ||
PBX | ||
サービス デスク | 現在サービス デスクでは、IT 部門によって簡単なサポートが提供されている。 | IT 分野を超えてサポート提供を拡大する必要がある。 |
廃棄物の収集 | ||
社内向け | すべての部署で自分の部署の廃棄物処理を管理している。 | |
社外向け | 大型ごみ容器は会社の敷地の外に置かれている。 ごみの収集は木曜日に行なわれる。 | 現在、敷地内には大型ごみ容器用のスペースがない。 |
個人的アプローチ | ||
物理的なセキュリティ | ||
オフィス セキュリティ | すべてのオフィスで 1 日中鍵をかけていない。 | 25% のスタッフが在宅勤務をしている。 在宅勤務者のセキュリティに関して明文化された基準はない。 |
在宅勤務者 | 在宅勤務者へのオンサイト メンテナンスに関する基準はない。 | |
その他/各社固有 | ||
社内フランチャイズ | ケータリングはすべてフランチャイズにより管理されている。 | フランチャイズのスタッフについては何も知らず、セキュリティ ポリシーも設定されていない。 |
攻撃方法 | 考えられるポリシー要件 | リスクの種類 機密情報 企業の信用 ビジネス機会 リソース 金銭 | リスク レベル 高 = 5 低 = 1 | 対処 |
---|---|---|---|---|
ソーシャル エンジニアリング セキュリティ ポリシーを明文化したもの | ||||
標準の従業員契約に、ポリシーに準拠する項目を追加するための変更 | ||||
標準の契約社員の契約に、ポリシーに準拠する項目を追加するための変更 | ||||
オンライン | ||||
電子メール | 添付ファイルの種類と取り扱い方法に関するポリシー | |||
インターネット | インターネットの使用に関するポリシー | |||
ポップアップ アプリケーション | インターネットの使用に関するポリシー。予期しないダイアログ ボックスが開いたときの対処方法に重点を置く。 | |||
インスタント メッセージング | サポートされ、使用が許可された IM クライアントに関するポリシー | |||
電話 | ||||
PBX | PBX サポート管理のポリシー | |||
サービス デスク | データ アクセスの提供のポリシー | |||
廃棄物の収集 | ||||
書類 | 廃棄書類管理のポリシー | |||
ごみ箱管理のガイドライン | ||||
電子メディア | 電子メディア廃棄物管理のポリシー | |||
個人的アプローチ | ||||
物理的なセキュリティ | 来訪者管理のポリシー | |||
オフィス セキュリティ | ユーザー ID およびパスワード管理のポリシー – たとえば、パスワードを付箋に書き留めて画面に貼り付けておかないなど | |||
在宅勤務者 | 社外でのモバイル コンピュータの使い方に関するポリシー | |||
その他/ 各社固有 |
||||
社内フランチャイズ | 社内フランチャイズ従業員の審査に関するポリシー |
セキュリティ推進委員会は、リスクの重要性に関するコンセンサスを達成する必要があります。 これは、さまざまな脅威のリスクに対して、業務や部門ごとに見方が異なることが考えられるためです。
リスクの評価方法とツールの詳細については、「セキュリティ リスク管理ガイド」を参照してください。
セキュリティ ポリシーにおけるソーシャル エンジニアリング
企業の経営陣および IT 担当者は組織内で効果的なセキュリティ ポリシーを作成して実装する必要があります。 セキュリティ ポリシーの焦点が、ウイルスやワームなどの技術的な脅威に対抗する技術的な制御に置かれている場合があります。 技術的な制御は、データ ファイル、プログラム ファイル、およびオペレーティング システムなどのテクノロジを防御するのに役立ちます。 ソーシャル エンジニアリングの防御は、スタッフを狙った一般的なソーシャル エンジニアリング攻撃に対処するものでなければなりません。
セキュリティ推進委員会は、主要なセキュリティ分野とリスク評価について、手順、プロセス、およびビジネス文書の作成を委託する必要がああります。 次の表は、セキュリティ推進委員会が関係グループと協力し、セキュリティ ポリシーをサポートするために必要な文書を定義したものです。
表 11. セキュリティ推進委員会の手順および文書の要件
ポリシー要件 | 手順/文書の要件 | 対処/日付 |
---|---|---|
ソーシャル エンジニアリング セキュリティ ポリシーを明文化したもの | なし | |
標準の従業員契約に、ポリシーに準拠する項目を追加するための変更 |
|
|
標準の契約社員の契約に、ポリシーに準拠する項目を追加するための変更 |
|
|
来訪者管理のポリシー |
|
|
ごみ箱管理のガイドライン |
|
|
データ アクセスの提供のポリシー | ||
廃棄書類管理のポリシー | ||
電子メディア廃棄物管理のポリシー | ||
インターネットの使用に関するポリシー。予期しないダイアログ ボックスが開いたときの対処方法に重点を置く。 | ||
ユーザー ID およびパスワード管理のポリシー (パスワードを付箋に書き留めて画面に貼り付けておかないなど) | ||
社外でのモバイル コンピュータの使い方に関するポリシー | ||
パートナー アプリケーション (バンキング、金融、購買、在庫管理) に接続するときの問題に関するポリシー |
見てのとおり、このリストは非常に長くなる可能性があります。 この作業を迅速化するため、専門家に委託するのも 1 つの方法です。 セキュリティ推進委員会は、リスク評価プロセスに基づいて、特に重要と見なされる分野に重点を置く必要があります。
ソーシャル エンジニアリングの脅威に対する防御を実装する
セキュリティ ポリシーを文書化して合意したら、ポリシーをスタッフに提供して従ってもらう必要があります。 従業員について知らなくても技術的に制御することはできますが、ソーシャル エンジニアリングに対する防御を効果的に実装したいと思えば、従業員のサポートを得る必要があります。 実装をサポートするには、サービス デスクのスタッフ向けにインシデント対応規定を作成する必要があります。
意識向上
セキュリティ ポリシーのソーシャル エンジニアリングの要素を実装する場合、優れた意識向上キャンペーンに代わるものはありません。 これは当然ながら、ソーシャル エンジニアリングの形で実装します。また、スタッフがポリシーを知り、その存在理由を理解し、攻撃と思われる疑わしい行動に対してどう対処すべきかを理解するように、スタッフをトレーニングする必要があります。 ソーシャル エンジニアリング攻撃の主な要素は信頼であり、ターゲットがハッカーを信頼して可能になります。 このような攻撃に対抗するには、通常と異なることに対して健全な疑いを持つようにスタッフに呼びかけ、会社の IT サポート インフラストラクチャへの信頼を生み出す必要があります。
意識向上キャンペーンの要素は、社内でスタッフに情報を伝える方法によって異なります。 体系的なトレーニング、気軽なミーティング、ポスター キャンペーン、その他セキュリティ ポリシーを宣伝するイベントなど、さまざまな方法から選択できます。 ポリシー内のメッセージを強化すればするほど、実装は成功します。 大きなイベントでセキュリティ意識向上を図ることもできますが、経営陣およびスタッフの検討課題の第一に常にセキュリティを位置付けることも重要です。 セキュリティは企業理念であるため、社内の全員からセキュリティ意識を維持する方法に関する提案が出るようにしなければなりません。 すべての事業部門およびさまざまなタイプのユーザーから意見を集め、特にオフィス環境の外で働く人の意見を聞いてください。
インシデントの管理
ソーシャル エンジニアリング攻撃が発生した場合に、サービス デスクのスタッフがこのインシデントへの対処方法が分かっているようにする必要があります。 セキュリティ ポリシー関連の手順には、対処方法が規定されていなければなりませんが、インシデント管理では、攻撃を利用して一層のセキュリティの見直しを開始することになります。 攻撃方法は常に変化するため、セキュリティとは、目標を達成したらそれで終わりではなく、ずっと続いていくものです。
1 つ 1 つのインシデントから、インシデント対応モデル内のセキュリティを継続的に見直していくための新たな情報が得られます。これを次の図に示します。
図 6. インシデント対応モデル
新たなインシデントが発生すると、セキュリティ推進委員会ではそれが新しいリスクなのか以前のリスクが変更されたものなのかを検討し、その結果に基づいてポリシーと手順を作成または更新します。 セキュリティ ポリシーに対する修正はすべて、会社の変更管理基準に従わなければなりません。
インシデントを管理するために、サービス デスクのスタッフは、次の情報の記録を定める確固としたインシデント レポート規定を持つ必要があります。
ターゲット名
ターゲット部署
日付
攻撃方法
攻撃の説明
攻撃の結果
攻撃の影響
推奨される対策案
インシデントを記録することにより、パターンを特定し、その後の攻撃を阻止できます。 この文書の最後の付録 1 にインシデント レポート フォームのテンプレートが用意されています。
運用上の考慮事項
セキュリティを見直す場合、会社に対してセキュリティの脅威が無数に存在することに対して過剰に反応してしまう場合があります。 セキュリティ ポリシーでは、企業はビジネスをするところであるという認識を維持する必要があります。 セキュリティの提案が組織の収益性や業務の迅速性に悪影響を及ぼす場合、リスクを再評価する必要があるかもしれません。 セキュリティと運用上の使いやすさとのバランスを取る必要があります。
セキュリティ意識の高い企業という評判が業務上の利点になるという認識も重要です。 このような評判は、ハッカーのやる気をそぐだけでなく、顧客およびパートナーに対する企業のビジネス プロファイルを向上させます。
ソーシャル エンジニアリングと多層防御階層モデル
多層防御階層モデルでは、ハッカーがユーザーのコンピュータ環境を脅かすために利用する攻撃経路 (脆弱な領域) に対するセキュリティ ソリューションを分類しています。 攻撃方法には次のようなものがあります。
ポリシー、手順、および意識。 セキュリティのあらゆる領域を管理するために作成された明文化規則、およびスタッフがこれらの規則について知り、理解し、実装することを目的に導入した教育プログラム。
物理的なセキュリティ。 ユーザーの資産およびリソースへのアクセスを管理する防護壁。 この後者の要素に注意してください。たとえば、ごみ箱を会社の外に置けば、ごみ箱は会社の物理的なセキュリティの外側にあることになります。
データ。 ビジネス情報 (アカウントの詳細、メールなど)。 ソーシャル エンジニアリングの脅威を考慮して、データのセキュリティ計画にハード コピーとソフト コピーの両方を含める必要があります。
アプリケーション。 ユーザーが実行するプログラム。 ソーシャル エンジニアリング ハッカーが電子メールやインスタント メッセージングなどのアプリケーションを悪用する方法に対処する必要があります。
ホスト。 組織内で使用されるサーバーおよびクライアント コンピュータ。 これらのコンピュータに対する直接の攻撃からユーザーを保護するため、ビジネス コンピュータで使用するソフトウェアや、ユーザー ID やパスワードなどのセキュリティ デバイスの管理方法に関する厳格なガイドラインを定めます。
社内ネットワーク。 コンピュータ システムが通信するネットワーク。 ローカル、無線、または広域ネットワーク (WAN) の場合があります。 社内ネットワークは、在宅勤務やモバイル ワーキングの普及に伴い、ここ数年の間にあまり「社内」ではなくなってきました。 このため、ネットワークに接続したあらゆる環境で安全に働くにはユーザーが何をしなければならないか、理解を徹底させる必要があります。
境界。 社内ネットワークと外部ネットワークの接点。外部ネットワークには、インターネット、またはエクストラネットの一部としてビジネス パートナーに所属するネットワークなどがあります。 ソーシャル エンジニアリング攻撃では、境界を破って、社内ネットワーク経由でデータ、アプリケーション、およびホストに攻撃をしかけようとするケースがよくあります。
図 7. 多層防御セキュリティ モデル
防御を設計する場合、多層防御モデルは脅威にさらされている企業の領域を視覚化するのに役立ちます。 このモデルはソーシャル エンジニアリングの脅威に特に対応したものではありませんが、それぞれの層にソーシャル エンジニアリングの防御が含まれます。
このモデル全体を包括する防御は、セキュリティ ポリシー、手順および認識です。 これらの防御は組織内のスタッフを対象とし、何を、いつ、どのような理由で、誰が行なうかを説明します。 残りの層で防御を微調整できますが、基本的な保護は、適切に構成され、社内で徹底された一連の規則によって企業の IT 環境を守ることから始まります。
多層防御セキュリティ モデルの詳細については、Microsoft TechNet の「Service Management Functions」(英語) を参照してください。
付録 1: ソーシャル エンジニアリングの脅威に関するセキュリティ ポリシー チェックリスト
この文書では、ソーシャル エンジニアリングの脆弱性や防御ポリシーの要件の理解を助けるため、多数の表を使用してきました。 この付録では、これらの表のテンプレートが提供されています。コピーしてご利用ください。
社内に存在するソーシャル エンジニアリング攻撃に対する脆弱性
攻撃方法 | 社内での利用状況の説明 | コメント |
---|---|---|
オンライン | ||
電子メール | ||
インターネット | ||
ポップアップ アプリケーション | ||
インスタント メッセージング | ||
電話 | ||
PBX | ||
サービス デスク | ||
廃棄物の収集 | ||
社内向け | ||
社外向け | ||
個人的アプローチ | ||
物理的なセキュリティ | ||
オフィス セキュリティ | ||
その他/各社固有 | ||
セキュリティ推進委員会によるセキュリティ要件およびリスクのマトリックス
攻撃方法 | 考えられるポリシー要件 | リスクの種類 機密情報 企業の信用 ビジネス機会 リソース 金銭 | リスク レベル 高 = 5 低 = 1 | 対処 |
---|---|---|---|---|
オンライン | ||||
電話 | ||||
廃棄物の収集 | ||||
個人的アプローチ | ||||
その他/ 各社固有 |
||||
セキュリティ推進委員会の手順および文書の要件
ポリシー要件 | 手順/文書の要件 | 対処/日付 |
---|---|---|
セキュリティ ポリシーの実装チェックリスト
対処 | 説明 | 対処/日付 |
---|---|---|
オンライン セキュリティ ポリシーの作成 | ||
物理的なセキュリティ ポリシーの作成 | ||
電話でのセキュリティ ポリシーの作成 | ||
廃棄物管理に関するセキュリティ ポリシーの作成 | ||
サービス デスクのセキュリティ管理ポリシーの作成 | ||
インシデント対応モデルの作成 | ||
意識向上キャンペーンの作成 | ||
... |
インシデント レポート
サービス デスクの担当者 | |
ターゲット名 | |
ターゲット部署 | |
日付 | |
攻撃方法 | |
攻撃の説明 | |
攻撃の結果 | |
攻撃の影響 | |
推奨される対策案 |
付録 2: 用語集
用語 | 定義 |
---|---|
アクセス権 | プライバシーに関して、個人が自分について収集された身元のわかる情報の精度と完全性を表示、変更、および検討できる能力。 アクセス権は Fair Information Practices (情報に関する公平な慣行) の一部です。 |
ウイルス対策ソフトウェア | ウイルスやワームなどの悪意のあるソフトウェアを検出し、対応するように設計されたコンピュータ プログラム。 対応には、感染したファイルへのユーザー アクセスのブロック、感染したファイルまたはコンピュータのクリーニング、ウイルスに感染したプログラムが検出されたことをユーザーに通知することなどがあります。 |
攻撃 | 意図的にコンピュータ システムのセキュリティを損なったり、他人がシステムを使用できなくする試み。 |
認証 | 個人の資格情報、コンピュータ プロセス、またはデバイスを有効にするプロセス。 認証では、認証を要求する人、プロセス、デバイスが、それが言っているとおりのものまたは人物であると証明する資格情報を提供する必要があります。 資格情報の一般的な形式には、デジタル署名、スマート カード、生体認証データ、およびユーザー名とパスワードの組み合わせがあります。 |
承認 | 人、コンピュータ プロセス、またはデバイスが、特定の情報、サービス、または機能にアクセスするのを承認するプロセス。 承認は、アクセスを要求する人、コンピュータ プロセス、またはデバイスの ID 間で発生するタスクで、認証によって確認されます。 |
変更管理 | 新たなエラーを防ぎ、変更の影響を最低限に抑えるために、検証済みの方法および技術により変更を管理すること。 |
コンピュータ セキュリティ | テクノロジ、プロセスおよびトレーニングを利用した情報資産の保護。 |
クラッカー | ソーシャル エンジニアリングや戦略ではなく、テクノロジを利用してコンピュータ システムに侵入する犯罪者。 |
ダウンロード | モデムまたはネットワーク経由で、リモート コンピュータから要求元のコンピュータにファイルのコピーを転送すること。 |
エクストラネット | 組織の信頼されたパートナーとの通信を容易にするために使用される、組織のイントラネットの延長。 エクストラネットによって、信頼されたパートナーは組織の内部ビジネス データへの限定されたアクセスが可能になります。 |
ファイアウォール | ネットワークのある部分を他の部分から切り離し、トラフィック フィルタリング規則に基づいて、許可されたネットワーク トラフィックだけを通すセキュリティ ソリューション。 |
マルウェア | 実行すると、損害を与える目的で動作するソフトウェア。 たとえば、ウイルス、ワームおよびトロイの木馬は悪意のあるコードです。 |
ネットワーク ログオン | ネットワークによってコンピュータにログオンするプロセス。 通常、ユーザーは最初にローカル コンピュータにインタラクティブにログオンし、次にログオン資格情報を提供して、サーバーなどの使用を許可されているネットワーク上のコンピュータにログオンします。 |
パスワード | ユーザーがネットワークまたはローカル コンピュータに対して、自分の ID を確認するために入力する文字列。 「強力なパスワード」も参照。 |
アクセス許可 | ファイル、ディレクトリ、プリンタなど、特定の共有リソースに関する操作を実行する許可。 アクセス許可は、システム管理者が個別のユーザー アカウントまたは管理グループに対して許可する必要があります。 |
個人識別番号 (PIN) | 許可されたユーザーに割り当てられる、パスワードに似た秘密の識別コード。 PIN は、たとえば ATM カードやスマート カードと組み合わせて使用され、銀行口座へのアクセスなどの許可された機能のロックを解除します。 |
個人を特定できる情報 (PII) | 特定された、または特定可能な個人に関する情報。 このような情報には、名前、国名、番地、電子メール アドレス、クレジット カード番号、社会保険番号、政府の ID 番号、IP アドレス、または別のシステムで PII に関連付けられた一意の識別番号などがあります。 個人情報または個人データとも呼ばれます。 |
個人情報 | 「個人を特定できる情報 (PII)」を参照。 |
電話ハッカー | PBX 施設を不正使用して電話をかける悪意のあるユーザー。 |
フィッシャー | 人をだまして、アカウント パスワードやクレジット カード番号などの個人情報を引き出す悪意のあるユーザーまたは Web サイト。 フィッシャーは通常、人を欺くような電子メール メッセージやオンライン広告を餌に、疑いを持たないユーザーを詐欺の Web サイトにおびき出し、個人情報を引き出そうとします。 |
物理的な脆弱性 | コンピュータの物理的なセキュリティの維持に失敗すること。たとえば、許可のないユーザーが入り込める作業場所で、ワークステーションをロックしないまま動作させるなど。 |
プライバシー | 顧客が個人情報の収集、使用、および配布を制限できること。 |
セキュリティの脆弱性 | マイクロソフトのセキュリティ更新プログラム、セキュリティ情報またはサービス パックによって解決されるソフトウェアの脆弱性。 |
スパム | 不要な広告メール。 「ジャンク メール」とも呼ばれます。 |
なりすまし | 実際に送信したユーザー以外のユーザーから送信されたかのように見せかけること。 |
スパイウェア | ポップアップ広告などの広告の表示や、ユーザーの情報の収集、コンピュータの設定の変更などを、一般にユーザーの同意を得ることなく行うソフトウェア。 |
強力なパスワード | リソースへの許可のないアクセスを効果的に防御するパスワード。 強力なパスワードは、6 文字以上からなり、ユーザーのアカウント名の全部または一部を含まず、 大文字、小文字、 10 個の基本数字およびキーボード上の記号 (!、@、および # など) の 4 つのうち 3 つ以上を含みます。 |
トロイの木馬 | 有用なプログラムや無害なプログラムに見えるが、実行すると、隠されたコードによってコンピュータを悪用したり損害を与えたりするプログラム。 トロイの木馬プログラムは、通常は電子メール メッセージ経由でユーザーに配布され、プログラムの目的と機能は偽っています。 トロイ型コードと呼ばれることもあります。 |
アップグレード | インストールされたバージョンのソフトウェアを、同じソフトウェアのより新しいバージョンに置き換えるソフトウェア パッケージ。 アップグレード プロセスでは、通常、既存の顧客データとユーザー設定はそのままで、既存のソフトウェアをより新しいバージョンに置き換えます。 |
ユーザー ID | ユーザーがコンピュータ システムにログオンできる一意の名前。 |
ウイルス | それ自体の複製を明確な目的として作成されたコード。 ウイルスは、宿主になるプログラムに自己を添付することにより、別のコンピュータへの伝染を試みます。 ハードウェア、ソフトウェア、またはデータに損害を与える場合があります。 「ワーム」と比較してください。 「Virus Info Alliance」(英語) (f-secure.com) で提供されている定義も参照してください。 |
脆弱性 | コンピュータを脅威にさらす恐れのある弱点、管理プロセスや操作、または物理的な露出。 |
ワーム | 自己増殖する悪意のあるコードで、ネットワーク接続を通して自動的にあるコンピュータから別のコンピュータへ感染します。 ワームは、ネットワークやローカル システムのリソースを消費したり、サービス拒否攻撃を引き起したりといった、有害なアクションを実行します。 「ウイルス」と比較してください。 |