サイバー犯罪者は、どのようにして情報を集め、ITシステムを攻撃できる状態にするのだろうか。ハッカーは、どのようにして企業のできるだけ多くの従業員に偽の電子メールを送ることに成功するのでしょうか。彼らは、セキュリティ・コンセプトの鎖の最も弱い部分である「人」をターゲットにすることで、成功することが多いのです。だからこそ、情報セキュリティインシデントに対する効果的な対策において、従業員が自分の立場を知ることが非常に重要なのです。そして、情報セキュリティのリスクと機会について、これまでとは異なる意識で見ることが必要です。そのキーワードは、「セキュリティ意識」です。greenhats.comマネージング・ディレクター Arwid Zangによるゲスト記事
ウェブサイトは開かれた書物のようなもの
ITセキュリティと情報セキュリティは、全く別の靴であることが知られていますが、その境界線はまだ曖昧なことがあります。明らかに、ITセキュリティの事故は定期的に情報セキュリティの事故につながる。確かに、もし私が企業ネットワークに侵入するハッカーなら、画面の前で目をぎゅっと閉じて、自分宛ての情報ではないものを拾ってしまわないようにしなければならないだろう。
しかし、サイバー犯罪者が最初に収集した情報が、長期的には、最初に選んだ被害者のITシステムを攻撃するための情報であることもあり得ます。
セキュリティチェックのプラットフォームであるgreenhats.comの日々の仕事は、企業をハッキングして脆弱性を特定し、犯罪者がそれを見つける前に修正することです。
今回は、「とりあえず話そう」のモットーどおり、誰にでも起こりうる攻撃方法について詳しく 説明したいと思います。そして、皆さんと一緒に、この疑問を解決していきたいと思います。なぜ、私がこのような話をするのか?
情報セキュリティインシデント。シンプルであることが最も危険
もちろん、いわゆる「フィッシング攻撃」の話です。これ以上、外国語やIT用語は使わないでくださいね。フィッシングは技術的な攻撃ではなく、あらゆるセキュリティ・コンセプトの鎖の最も弱い部分に対する攻撃だからだ。人に対する攻撃だ。
私があなたを攻撃したいと仮定してみよう。そのとき、私はただ無造作にノートの前に座り、黒いコンソールをタイプし始めることはないだろう。まず、必要なのは...まさに!?情報、個人情報。これには
- 会社の電子メールアドレス
- ITスタッフの名前
- 電子メールの署名
- コーポレート・アイデンティティに関する情報
- 社員が興味を持ちそうな話題
原則的に、フィッシングは技術的な攻撃ではなく、(ほとんど)すべてのセキュリティ概念の鎖の最も弱い部分に対する攻撃である。
人に対する攻撃です。
あなたの会社の名前以外何も知らないと仮定すると、私は当然ながらまずウェブサイトにアクセスし、そこにあるものをすべて読み、学ぶことになる。そして何より、御社のIT部門のメールアドレスや担当者が気になる。なぜなら、次の攻撃では、できるだけ多くの従業員(そのアドレスが必要)に偽のメールを送り、IT部門にも送るのをできるだけ避けたいからです。
電子メールアドレス。フィッシング攻撃の「資本」。
いくつかのメールアドレスを見つけたら、そのパターンを導き出す。例えば、"firstname.lastname@samplecompany.com "のようなものです。そこで、なぜその社員の名前からメールアドレスが推測されるのか、そのロジックをディスコティックに解明してみるのです。
そして、またインターネットへ、今度はソーシャルネットワークへ。Facebookのような「邪悪な」プレイヤーの話ではありません。XINGやLinkedInの方がずっと面白いのです。
そこで、あなたの会社を検索し、その会社で働いていると表明している人を調べます。このようにして、特定されたパターンを使って住所を導き出すことができる名前のリストが得られます。同時に、ソーシャルネットワークのプロフィールから、あなたの同僚のうち、職業上の経験やITへの関心に基づいて、今度の攻撃を認識できる可能性のある人をすでに知ることができます。
これらの同僚は、私から偽のメールを受け取ることはありません。
セキュリティ意識。トロイの木馬が正式に登場
攻撃対象がわかったところで、私はあなたの会社の社員になりすまそうと思います。そのためには、まず御社とコンタクトを取る。公式なルートで、たとえば潜在顧客として。電子メールを送り、見積もりを依頼する。あなたは、理想的には製品ポートフォリオなどを添えて返信します。
その返信から、私は貴重な情報を得ることができます。
- あなたのメールの署名はどのようなものか?
- メールの署名はどのようなものか、どのようなフォントを使用しているか。
- ロゴはドキュメントのどこに配置されていますか?
- 見出しはどのようにハイライトしていますか?
- どのような色を使っていますか?
- などなど...。
ここまでは、ロケット科学ではありません。しかし、気をつけなければならないのは、ここからが本番です。あなたの会社が「SampleCompany」という名前で、インターネット上では「samplecompany.com」で見つかるとします。そこで、あなたの会社の住所とよく似た住所をインターネット上で探してみます。例えば、「samplecompany.eu」です。このアドレスを購入し(実際には数ユーロしかかかりません)、このアドレスに攻撃を仕掛けることができるようになります。
なぜなら、「firstname.lastname@samplecompany.eu」から、あなたの署名入りで、あたかもあなたから直接送られてきたかのようなメールを送ることができるからです。送信者としてどんな名前や同義語を使おうが、技術的には何の違いもないのだから。
情報セキュリティ事故の実際の事例
あなたのビジネス・マネージャーは、あなたのビジネス・マネージャーではない
例えば、私が御社のIT部門の管理者のふりをした場合、これは本当に危険なことです。例えば、私があなたとあなたの同僚全員にメールを書き、遠隔会議のための新しいビデオポータルについて注意を促し、全従業員が一度認証を受け、既存の連絡先が転送されているかどうかを確認するよう指示します。
また、社長のアシスタントとして、パンデミックの影響でクリスマスパーティーが中止になったこと、その代わりに経営陣が新品のiPhoneを5台抽選でプレゼントすることを説明することもあります。抽選に漏れることがないよう、各社員に添付のポータルサイトで一度認証してもらい、12月末に当選者が発表される予定です。
偽のログインエリア。デジタル化時代には子供の遊び
どの方法を選ぶにしても、「ポータルサイト」につながるリンクを送らなければなりません。raffle.samplecompany.eu」でも「portal.samplecompany.eu」でもかまいません。
また、この時点では、私の創造力を自由に発揮することができます。対応するページは私が所有しているので、あなたやあなたの同僚が信頼できそうなものをそこに作ればいいのです。例えば、このコンテストの場合、あなたの会社のロゴと小さなサンタクロースを使った素敵なログインエリアがあります。あるいは、流れ星とか。
パスワードが攻撃者の手に渡る - 平文で
もちろん、私のポータルサイトでは、セキュリティは最優先事項です。すべてが見事に暗号化され、第三者があなたの入力を読むことは不可能になっています。結局のところ、あなたはユーザー名とパスワードを入力している、それは機密情報である。技術的な観点からは、このすべてが絶対的に重要です。あなたのデータは安全に転送され、最終的には最高の手、つまり私の手に渡るのです。
ちなみに、このような攻撃では、パスワードの複雑さは全く関係ありません。また、私のポータルをそれに合わせて適応させれば、(たとえ最小限の複雑さであっても)さまざまな2要素ソリューションが「フィッシング」される可能性があることも覚えておいてください。
情報セキュリティ成功要因としての従業員
最後に最も重要な質問をクリアにすることを約束しました。なぜ、私がこのような話をするのか?その答えはこうです。他に誰がいる?
私が説明する攻撃は、純粋に技術的な観点から言えば、攻撃ではないことを理解することが重要です。私は、実際に私が所有するアドレスからあなたにメールを書いています。マルウェアはおろか、添付ファイルすらありません。あなたのシステムを危険にさらそうとしないインターネット上のページにリダイレクトされるのです。そして、先ほど説明したように、このサイトも完全に安全で、すべてのトラフィックは最適に暗号化されています。
これは、あなたがログオンする他の(評判の良い)サイトでも同じです。LinkedInやXINGで自分自身を認証するためにプライベートなパスワードを入力するのと同じように、私のサイトでもパスワードを入力するのです。
技術的な観点からは、フィッシャーは電子メールを偽造するのではありません。会社全体を偽装するのです。そのため、技術的な保護対策が機能しないのです。解決策は、攻撃を認識し、防ぐことです。そして、それはあなた次第です。
技術的な観点から言えば、私は電子メールを偽造しているのではない、ということを理解することが重要です。私はあなたの会社全体を偽造しているのです。
これこそ、技術的な保護対策が機能しない理由です。解決策は、攻撃を検知して防ぐことにあり、それはあなた次第です。ただ、この方向で従業員の意識を高めるための適切な措置が必要です。
このシナリオをきちんと設定すれば、アドレスの違い、つまりこの場合は「.com」ではなく「.eu」に気づくことで、攻撃を検知することができるようになるのです。皆さんの中には、ストレスの多い日常業務の中でも、このようなことを行うために必要な概要を絶対に把握している人がいることは承知しています。そこで、上級者の方に少し考えて頂きたいことがあります。
「samplecompany.com」を偽物と見破れますか?ヒント:「l」は「L」ではなく、ギリシャ文字の「Iota」である。人間の目には何の違いもありませんが、あなたのコンピューターには少し違うように見えるかもしれません。私たちが企業向けにシミュレーションしたフィッシング攻撃では、従業員がデータを漏えいした顧客は一人もいなかったと断言できます。
結局のところ、従業員に攻撃への意識を持たせること
つまり、問題はあなたの同僚がこのような攻撃に引っかかるかどうかではありません。それよりも、どれだけの従業員が攻撃に気づき、どれだけの速さでIT部門に報告し、IT部門が対応するまでにどれだけの時間があるかが問題なのです。
まさにここが、セキュリティ意識という点で、より情報セキュリティやITセキュリティにとって従業員が成功要因になるところです。
私は、戦略を独り占めして、そのような攻撃の悲惨な結果を楽しむようなホワイトハッカーの一人になりたくないのです。それよりも、皆さんの会社を少しでも安全にするために、皆さんと一緒に貢献したいと思います。
さて、次はあなたの番です。今説明したことは、人間や、時には情報の取り扱いを怠ることで、攻撃者として利益を得るために悪用される可能性がある多くの方法のほんの一例に過ぎません。IT部門は、限られた範囲でしかこれを防ぐことができないし、まったくできない。それが彼らの仕事である。自分で攻撃を考え、同僚を乗っ取る方法を考え、(仮想)ランチテーブルの話題にする。
ISO 27001:対策のカタログの一部としての認識
そして、日頃から社内でテストし、意識向上をセキュリティ計画の一部にしましょう。行間を読むと、国際的に認められている情報セキュリティマネジメントシステム(ISMS)の規格にも、このことが書かれています。
例えば、ISO/IEC 27001では、自社の情報をどのように扱うかについて、最も弱い立場の人々の意識と感化を確保することを求めています(第7.3章および付属書7.2.2)。これは、電子メールアドレスのような単純なものから始まります。GDPRのような他の規制や法的要件も、インシデントの回避という予防的アプローチを対象としています。
"ISO 27001 "によるISMSは、企業において保護する価値のある情報のセキュリティを確保するための要求事項、規則、方法を定義しています。この規格は、保護レベルの導入、実施、監視、改善のためのモデルを提供しています。その目的は、企業に対する潜在的なリスクを特定し、それを分析し、適切な対策によって制御可能にすることです。ISO 27001は、このようなマネジメントシステムの要求事項を策定しており、外部認証プロセスの一環として監査が行われます。この規格は、ISOのウェブサイトから入手することができます。"
ガイドライン、トレーニング、最新のニュースに関するコミュニケーション、あるいはフィッシング攻撃のシミュレーションなど、私たちがお客様に行うような意識向上策で、規格の要求事項を満たしてください。そして自分自身に正直になり、今までのトレーニング対策が、今説明したような緊急事態への備えとしてどれだけ成功したかを自問自答してください。
ISO 27001 - Questions and answers
価値のある情報は、今日の金であり、したがって、あなたの会社で保護されるべき資産でもあります。ISO 27001は、多くの解決策を用意しています。
情報セキュリティ・インシデントは、通常、混乱を意味する
サイバー攻撃によって情報セキュリティ・インシデントが発生した場合、あなたはどのように対処しますか?確かに、反応するセキュリティの話題はいつも少し落ち着かないものですが、これは話すべきことです。
人々は、火災報知器の訓練のように考えたがります。勤務時間中のある時点で、不意にベルが鳴り、誰もが整然と落ち着いて建物を出て、少し外で待って同僚と天気についておしゃべりし、しばらくして誰もが戻ってくることが許され、その途中でコーヒーを飲むことができます。
しかし、そういうわけにはいかない。
私のチームは、すでに攻撃があったいくつかの会社から連絡をもらっていますが、断言できます。それはカオスです。実際の事件から数日後でさえも。それは、現代のハッカーが被害者の傲慢さにつけこんでいるからです。
セキュリティ・コンセプトの一環として意識付けを行い、定期的にテストしてもらいましょう。行間を読むと、国際的に認められている情報セキュリティマネジメントシステムの規格であるISO27001にも、このことが書かれています。
このことを説明したいので、フィッシング攻撃の話に戻ろう。攻撃者である私が、あなたの同僚のITシステムにパスワードを使ってリモート接続できたとします。あなたの会社の誰かが、この攻撃に気づいてIT部門に報告することを、私が知らないとでも思っているのでしょうか。ベストなケースは、あなたが個人的に、そのことを十分に認識していることです。
情報セキュリティインシデントシステムへ侵入する裏口
そのために私は2つのことをします。まず、あなたの会社を困らせるような当たり前のことをし、あなたに何かしてもらう。例えば、あなたの同僚の名前で、あなたの顧客にスパムメールを送ります。これなら目立つし、あなたやIT部門に何かしてもらえるでしょう。これで、あなたはすべてのコンティンジェンシー・プランをクローゼットから引っ張り出し、IT担当者と一緒に情報セキュリティ・インシデントを絵に描いたように解決することができます。洗練されたマーケティング手法も駆使して、傷ついたイメージを新たな高みへと磨き上げ、おそらくは以前よりもさらに「生存者」としての印象を良くすることができるだろう。プロフェッショナルにはこれができるのです。
しかし同時に、攻撃者として、騒ぎに紛れてIT部門が気づかないようなシステムへのバックドアを仕掛けようとするのです。それは、宝石店に入って一番大きな陳列ケースを倒し、みんなが割れた破片に飛びついている間に、高価な指輪や時計をこっそり自分のポケットに入れるようなものだ。
言うまでもなく、私の裏口は、何を探しているのか分からないと、非常に見つけにくい。それから、私は何もしない。何週間も、何ヶ月も。
"私はあなたのネットワークを介して、静かに動作します。私は広がり、そして待つ..."
私は今、あなたの会社のネットワークを通じて、静かに仕事をしようとしている。ネットワークを疲弊させ、セキュリティ・システムに警告を発するような「うるさい」ソフトウェア・スキャナーは一切使わないで。完全に手動で、旧式のやり方で。ところで、ここがハッカー側にとって、麦と籾殻を分けるところだ。もしあなたのネットワークがテストシナリオでセキュリティスキャナーにさらされただけなら、今さら何の役にも立たないでしょう。そこで、私は辛抱強く待ちます。いつ、どのようにバックアップを取るのか、誰が誰と連絡を取っているのか、どこが最もセンシティブな組織なのかを確認します。この例の場合、私はおそらく夜間に、あるいは少なくともコアタイムの後で、観察される可能性がさらに低くなる時間帯に、この作業を行います。そしてもちろん、毎日自分の痕跡を消しています。
積極的なITセキュリティ対策、特に顕著なセキュリティ意識は、企業のITセキュリティ・コンセプトの最も重要な構成要素である。とはいえ、十分に発達したセキュリティ意識には、「自分にも起こりうること」という理解も含まれます。そして、万が一、そのような事態が発生した場合に備えておく必要があるのです。
そして、数ヵ月後、大きな情報セキュリティ事故が発生する。あなたの会社にとっては、まったく青天の霹靂です。例えば、私はその後、数ある暗号化トロイの木馬の一つを使って、あなたを脅迫するのです。しかし、「偶然にも」私の事前調査のおかげで、それは最高権限の下で実行され、御社のセキュリティ対策を回避し、御社の最も関連性の高いファイルがあるシステムに最初に拡散するのです。そして、もし私がこの間に、あなたのバックアップシステムの弱点に気づいたら...言ったように、カオスになる。
認識不足:標的型攻撃に最適
そう、まだ私たちの例ではありますが、これは決してハリウッドではありません。これはよくあることで、このような暗号化トロイの木馬に悩まされる企業の話を今でもよく耳にしたり、読んだりする主な理由でもあります。数年前、これらは多かれ少なかれインターネット上に解き放たれ、群れの中で最も弱い羊だけがその犠牲となりました。つまり、外側の技術的セキュリティが弱い企業がその犠牲となったのです。
しかし、今は違う。従業員の意識の低さを利用して企業を狙い、被害者が完全にコントロールされた時に初めて自動攻撃ソフトが展開される。
私は、積極的なITセキュリティ対策、特にセキュリティに対する強い意識が、企業のITセキュリティ・コンセプトの最も重要な構成要素であると今でも信じている。しかし、セキュリティ意識の向上は、「自分も被害を受ける可能性がある」ということを理解することでもあります。私自身も含めてです。そして、万が一そのような事態に陥った場合、覚悟を決めておく必要があるのです。
発生確率を最小化する
私の発言には、あえて火災報知器の例を入れました。これは、万全の対策を施しているにもかかわらず、万が一火災が発生した場合に備えてのことです。また、情報セキュリティ事故やITセキュリティ事故についても、このようなものを用意している会社もある。もし、そのような対策が必要であれば、私は、次のようなアドバイスをします。
セキュリティ対策の一環としてペネトレーションテストや攻撃シミュレーションを実施する場合、発見した脆弱性を修正するだけでは意味がありません。常に問いかけてください。この脆弱性は過去に悪用されたことがあるか?バックドアを設置したことはあるか?
"問いかけを止めない"
別の言い方をすれば、すべての「発見」を実際の情報セキュリティ・インシデントの重大性で扱うということです。そうすれば、発生確率を最小限に抑えつつ、事後対応的なセキュリティ計画(絶対に必要ないことを切に願う)を試されることになるのです。火災報知器のようにね。
これらはすべて意識の一部であり、同時に全体の一部でしかない。しかし、この重要な要素があれば、私が「明日から気をつければ、あなたの足元をすくわれるかもしれませんよ」と尋ねても、うまくいけば微笑んでくれることでしょう。願わくば。
Gern beantworten wir Ihre Fragen
情報セキュリティマネジメントシステムを認証する 際に、どのような労力を侮ることができるのか?義務感なく、無料で調べてみてください。ご相談をお待ちしています。
信頼と専門性
当社のテキストとパンフレットは、長年の経験を持つ当社の規格専門家または審査員によってのみ執筆されています。テキストの内容や、著者の方への当社のサービスについてご質問がありましたら、お気軽にお問い合わせください。
DQSのメールマガジン
Arwid Zang
Managing Director of the security platform "greenhats". IT security specialist, trainer and author specializing in white-hacking, awareness training, information security and proactive hardening of IT systems.