★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 640.html
 ★阿修羅♪
次へ 前へ
セキュリティの「最弱ポイント」はやはり人間【IT_Media記事】
http://www.asyura2.com/0401/it05/msg/640.html
投稿者 クエスチョン 日時 2004 年 6 月 16 日 22:40:10:WmYnAkBebEg4M
 

セキュリティの「最弱ポイント」はやはり人間【IT_Media記事】
http://www.itmedia.co.jp/enterprise/articles/0406/10/news040.html

2004/06/10 14:45 更新

技術ではなく話術で情報を引き出すソーシャルハッキングは、「うまくやれば、ターゲットのセキュリティ対策をすべて完全に出し抜くことができる」とセキュリティ専門家は警告する。


 ITセキュリティをめぐる会合では、「どんなセキュリティ環境であれ最も脆弱なのは人間だ」という認識が常に議論の根底にあるものだが、今日この問題はますます現実的なものになっている。調査会社Gartnerが6月8日に開催した第10回Gartner IT Security Summitで、同社アナリストはこう指摘した。

 Gartnerの情報セキュリティ担当ディレクター、リッチ・モーグル氏によれば、実際、最近はソーシャルエンジニアリング(技術ではなく話術を使って相手を巧みに操ることでセキュリティシステムを破るハッキング手法)が流行しており、企業は驚くほど単純なトリックや策略に対して、かつてないほど脆弱になっているという。

 「ソーシャルエンジニアリングは非常に強力で、うまくやれば、ターゲットのセキュリティ対策をすべて完全に出し抜くことができる」と同氏。

 例えば、悪質なハッカーたちは、受話器を取り、セキュリティ部門の担当者を装って社員にパスワードを聞き出すのがいかに簡単かを知っている。モーグル氏によれば、実際、こうしたハッキング行為は企業が認めているよりも高い頻度で発生している。もっと簡単で、非常に一般的な手法としては、来客として社内を歩き回り、付箋紙に書かれたパスワードを収集するという方法もある。

 「最近は、かつてなかったような最悪のソーシャルエンジニアリング攻撃が行なわれている。技術は単なるベクトルだ。ソーシャルエンジニアリングは技術によってではなく、技術を越えたところで行なわれる。いくら世界最高のファイアウォールを使っていても、その背後の人間がアクセスコードを漏らしていたのでは、役に立たない」と同氏。

 またモーグル氏によれば、ほとんどすべてのサイバー攻撃は調査から始まるという。ハッカーは盗んだパスワードを使ってシステムに探りを入れたり、役立つと睨んだ従業員を巧みに操り、情報を引き出す。新しい手法としては、カメラ付き携帯電話を使って書類や組織図や電話番号リストを撮影するというものもある。

 写真を撮るには、来客として現場を訪ねたり、配達人を装うほか、清掃スタッフの一員として潜り込むという手もある。

 「組織図を入手するだけで、その会社に関する相当の情報を得られる。犯罪者はクリック1つでIT部門の従業員を把握できる。それで、ターゲットは決まりというわけだ」と同氏。

 さらにモーグル氏は、企業は一般公開する情報を慎重に監視すべきだと警告している。「少し調べるだけで、ほぼあらゆる人物や会社に関して、信じられないほど大量の情報を入手できる」と同氏。

 また別の手法として、モーグル氏は「リバースソーシャルエンジニアリング」という方法に言及した。これは、カメラ付き携帯電話やノートPCなどの技術を使ってアクセスを確保した後に、それを利用して無力なユーザーをだまし、機密情報を自ら明かさせるという手法だ。

 「物理的な世界と電子的な世界、両方が攻撃の直接のターゲットになり得る。一方の世界における攻撃を、他方の世界における攻撃の基盤として用いることが可能だ」と同氏。

 モーグル氏によれば、解決策はこの問題と同じくらい昔からあるものだ。まずは、従業員と継続的なユーザーを慎重にふるいわけしながら、社内にセキュリティ文化を構築することから始まる。そして、経営陣の教育も必要だ。「まずは方針を定め、実際にセキュリティを管理するための体系を整える」と同氏。さらに同氏は、企業の物理的セキュリティの担当者が蚊帳の外に置かれているケースが非常に多いと指摘している。

 「皆さんの会社に施されている物理的セキュリティは大半がお粗末だ。私は、当社の顧客企業の多くを実際に訪れた経験からこう言っている。私はいつも受付でサインをして、訪問者用のパスを受け取る。その後どうするかと言えば、私はそのパスをポケットに入れて歩き回るのだ。そのことで質問を受けるのは、おそらく10回に1回くらいだ」とモーグル氏。

 さらに同氏は、「まず大事なのはセキュリティ文化だ。この点はいくら強調してもしすぎるということはない。これは、セキュリティの義務ではなくセキュリティ資産と考えるべきだ。例えば、USBドライブを持った人物が社内に入ってきたら怪しいと疑う。そういったことが重要だ」と語っている。

 またワイヤレスデバイスの普及により、企業にとってはITセキュリティ部門と物理的セキュリティ部門の連係を強化する必要性がますます高まっている。物理的セキュリティのチームは、見慣れない人物が社内の公共エリアでノートPCを使っているといった疑わしい行動について警戒を高めるべきだとモーグル氏は指摘している。見知らぬ人物が会社の駐車スペースに車を停め、車内でノートPCを使っているケースなどは、さらに疑わしい。

原文へのリンク
関連記事
サイバーパンクの草分け、ネットの「大混乱」を嘆く

「政府のネット取り締まり」を訴えるSF作家

ハッキングの穴はシステムではなく“人”にあり


[インターネットコム]

 次へ  前へ

IT5掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。