logo-idv ico_pp

今、知っておきたいセキュリティ用語

エンジニア

今、知っておきたいセキュリティ用語

こんにちは。今回の記事を担当しますエンジニア♂(28)です。
エンジニアとして色々な業務を行ってきて、ある程度知識がついた最近はセキュリティ関連の話題に興味を持っています。
そこで今回はある事例と共に是非知っておきたい言葉を紹介したいと思います。

今回のテーマは「OSINT」と「標的型攻撃」です。

 

OSINTとは

OSINTとは「Open Source Intelligence」の略語です。
一般に公開され利用可能な公開情報(オープンソース)を情報源に、情報を収集する専門領域のことを指します。
wikiを見てみると「諜報活動」なんて言葉も出てくるように、一般的には国家保障などで使われる言葉ですが、最近では情報セキュリティの分野でも使われるようになってきています。
ここでいうオープンソースとは、政府や行政が公開しているマクロデータから、会社が発表している広報、インタビュー記事、個人のブログ、SNSなどです。
つまり、ある程度の範囲に公開されている情報はすべて該当するといえます。もちろん雑誌や新聞の記事も、です。
[引用:https://ja.wikipedia.org/wiki/オープン・ソース・インテリジェンス]

 

標的型攻撃とは

標的型攻撃とは、明確な意思と目的を持った人間(攻撃者)が、特定の組織に対して特定の目的(情報の窃取や削除)のために行うサイバー攻撃の一種をいいます。
電子メールの添付ファイルにウイルスを仕込み、それを開かせて感染させる手法や、特定のサイトを閲覧させて脆弱性をついて感染させる手法などが有名です。
[引用:https://ja.wikipedia.org/wiki/標的型攻撃]

 

警戒すべき標的型攻撃の情報精度

では、事例として昨年末(2016/12)に話題となったAmazonギフト券を使った協賛金詐欺事件を考えてみます。
比較的最近なので記憶に新しい方も多いのではないでしょうか?

この詐欺事件は、実在する企業名を使って取引先に架空のパーティーの招待状を送り、その中で協賛金をAmazonギフト券のコードで受け取るというものです。
公開されている招待状を見てみると、若い女性社員が頑張って作ったようなテイストになっています。
しかしながら、書いてある内容自体はお粗末であり、誤解を恐れずに言えば、普通は引っかからないレベルだと思います。
このような事件は日常的に発生していますし、珍しいものではないですよね。

では、逆にどのような状況なら引っかかってしまうかを考えてみます。

例えば、あなたが普段から親しくしていて、とても信頼のおける取引先のAさんがいたとします。
1) Aさんから個人宛で直接メールが来た。
これでも取引先の数十人規模のパーティーに呼ばれるような状況なら疑いそうですね。
2) 数人規模のパーティで参加者も全員知っている。
先程よりは信じてしまいそうですが、まだ内容を吟味して判断しそうです。
3) Aさんの後輩で個人的な付き合いもあるBさんがいたとして、「Bさんの昇格お祝い」などより具体的な内容がある。
ここまでくると、もしかしたら信じてしまうかもしれません。

この1~3の差は何なのでしょうか?
私は「より詳細な情報・よりプライベートな情報が含まれていること」だと考えます。
そして、そのような情報は想像している以上にオープンソースから得ることが出来るのです。

極端な例ですが、
1) あなたの簡単なプロフィールが会社HPの社員紹介に載っている。そこには所属部署、出身校、年齢などが記載されている。
2) 年齢から卒業年度を類推することが可能であるので、同窓会名簿などを入手し同業界にいる同窓生を特定できる。
3) 特定された同窓生Bが所属する会社が、あなたの会社の取引先になっていないかをチェックする。
4) 取引先であれば、会社の組織図から繋がりそうな部署かどうかをチェックする。
5) 同窓生というだけで親しくなければ確度は高まらないので、学生時代の繋がりをチェックする。
6) 攻撃できそうと判断できれば、実際にメールを送る。
というような経路で、先のような状況を作り出すことが考えられます。
Bさんの情報もAさんやあなたがSNSに投稿したメッセージや写真からたどり着けるかもしれません。

この例の攻撃者のゴールを「メール攻撃からのウイルス感染による機密データの窃取」と置き換えると、標的型攻撃としても捉える事が出来ます。
2015/06に125万件の個人情報漏洩が発覚した日本年金機構の事例も、職員個人のアドレス宛にそれらしいタイトルのメールを送信し、ウイルスに感染させ、データを窃取したと言われています。
詐欺と標的型攻撃はゴールこそ違えど、心理的なスキをつくアプローチの仕方は同様であると言えるのではないでしょうか。

重要なのは、個々のデータだけでは大した意味をなさないオープンソースでも組み合わせることで強力な情報源(攻撃者にとっての武器)になるといことです。
なので、「発信した(された)情報が思わぬ事態を引き起こすかもしれない」ということを常に意識しておくべきです。
私は絶対に大丈夫と自信のある方もいると思いますが、プライベートではSNSに投稿する時にしっかり意識出来る人でも、少しプライベートから離れると忘れてしまいがちです。
今一度、意識するように心がけると共にこの言葉を覚えておいていただけると良いと思います。

私自身への戒めを含めて記事を書いてきましたが、この記事があなたのリスク軽減につながれば幸いです。
最後までお読み頂きありがとうございました。