『日経コンピュータ』4月19日号の「今さら聞けないITの新常識」では“ソーシャル・エンジニアリング”が取り上げられています。ソーシャル・エンジニアリングとは、人の思いこみや不注意を利用して社会的な手法により、パスワードや機密情報を聞き出す手法のことです。利用者のふりをしてシステムの管理者からパスワードを聞き出したり、パスワードを入力している人の手元からパスワードを記憶したり、ゴミ箱をあさるなどというのが例として挙げられます。

ウイルスや企業・公的機関のホームページが改竄されるなどの事件が多発し、ネットワークなどのセキュリティの注目は高まっています。これらの問題に対して十分な対策を取った機関などでは、万全とは言い切れなくともかなり侵入するのが困難になっているようです。その一方で、どんな場所でも働いている人間は存在しており、そこにつけ込まれる余地がないとは言い切れません。機密情報を手に入れたいと考える人間にとっては、情報を得るのが目的であって、手段はどんなものでも構わないはずです。それならば一番脆弱な部分を攻めるのが定石なのは議論の余地がないと思います。

このソーシャル・エンジニアリングの分野での代表的な作品がケビン・ミトニック、ウィリアム・サイモンの『欺術－史上最強のハッカーが明かす禁断の技法』です。この本の著者は、ソーシャル・エンジニアとして数々の重要情報を盗み出してきた経験を持つハッカーで、現在はセキュリティ関連の仕事を行っています。私はこの本を去年の秋ぐらいに買って、まだ半分くらいしか読んでいないのですが、実際に私が標的になったら「もしかしたら危ないかも」と思うほど手口は巧妙です。

「オレオレ詐欺」が一時期流行っていましたが、これも基本的にはソーシャル・エンジニアリングと同じような手口を使っています。「オレオレ詐欺」の場合は、息子や孫などと思いこませることにより現金を奪い取りますが、ソーシャル・エンジニアリングの手口も、社内の人間しか知らないはずのキーワードなどを使って、そのパスワードを使用している利用者や社内の人間などと思わせて情報を引き出します。

具体的には、社内にうまく入り込んで適当な社員をつかまえて、「ちょっとPCの調子が悪いんだけど、代わりに調べてくれない？Aというソフトを起動してBをすればすぐに分かるはずなんだけど・・・。あれ？見つからない。じゃあ、試しにこういう操作をしてみてくれる？・・・・」などといって利用していく感じです。利用されている側は社内で使われているAというソフトとBという操作を知っているから、社員だろうと思い込みそうですが、丁寧に情報を収集していけばそれくらいは外部の人間でも分かります。単純な方法ですが、情報にアクセスできる全ての社員が対象ですから、全ての社員が万全な対策が出来るかというとそうではありません。これからもソーシャル・エンジニアリングは注目され続けるキーワードになっていくことでしょう。

【追記】 ケビン・ミトニックをテーマにした映画に『ザ・ハッカー』というのがあります。ミトニックとハッカー対策専門家の下村努さんの対決をテーマにしたストーリーで、基本的にはコンピュータ上の対決が主ですが、ゴミから重要情報を探し出したり、なりすましをしたりとソーシャル・エンジニアリングの要素もちゃんとおさえらている作品です。コンピュータ用語が少し多くて、それぞれの言葉の意味が分からないと少々難解に見えるかもしれませんが、是非一度ご覧になって見てください。