情報BOX 【 知って得するサイバーセキュリティ講座 】
第6回人間の持つ脆弱性
2012年4月12日
サイバー攻撃は、技術的に根絶がむずかしい脆弱性を巧みについてきます。あの手この手で私たちの重要な情報を奪取したり、様々な悪影響を与えようとしたり画策します。
しかし、サイバー攻撃では、ソフトウェアの脆弱性のみが問題になるわけではありません。実は、脆弱性は、私たち人間にも潜んでいるのです。
人間の弱み
どんなに気をつけていても、人間は騙されたり、誤認や誤解を起こしたりするものです。人間にも脆弱性が存在しているのです。そして攻撃者は、ソフトウェアの脆弱性と共に、この人間の脆弱性も、巧みに攻撃してきます。
歴史上、もっとも有名なクラッカーの一人であるケビン・ミトニックは、2003年の著書「欺術(原題:The Art of Deception)」において、「人間の弱み」を6つに分類しています。
- (1)権威に弱い
- (2)好き嫌いに弱い
- (3)お礼に弱い
- (4)約束に弱い
- (5)横並び社会に弱い
- (6)希少性に弱い
(1)は権威のある者に弱く、権威者を語った要求に応えてしまうこと、(2)は自分が好感を持っている相手からの要求に応えてしまうこと、(3)「お礼に○×を(して)あげる」といわれると、要求に応えてしまうこと、(4)ひとたび肯定してしまった事柄に対して、後から拒否するのは難しいということ、(5)「他の人もそのようにしている」というと言われると、安心して要求に応えてしまうこと、(6)供給量が少なかったり、一定期間しか手に入れることができない限定物を手に入れるために行動してしまうことを指します。
これらの「人間の弱み」の6分類のほかに、誤ってしまうことで脆弱性につながることもあります。
そのことを知らないために誤った対応をしてしまう「無知」、注意力が続かないために、危うい行動を取ってしまう「不注意」、見分けがつきにくいものを見た結果、誤った認識で行動をする「誤認」、理解しにくいものの判断を迫られ、誤って解釈して行動をする「誤解」などによって、ミスユース(誤用)を行ってしまう場合があります。
騙しの技術
攻撃者はこの人間の脆弱性を利用して、ミスユース(誤用)、を行うように仕向けてきます。これら人間の脆弱性を狙って行われる攻撃のことを「ソーシャルエンジニアリング」といいます。
例えば、突然電話がかかってきて「あなたのパスワードを教えてください」を言われたら、普通であれば教えることはないでしょう。
では、次のように前置きをされたら、どれだけの人が教えることはないと言い切れるでしょうか。ここでは、個人情報漏洩などにより、メールアドレスと電話番号が漏れていると仮定し、サービスプロバイダの名前は、メールアドレスから類推します。
「インターネット・サービス・プロバイダのXXXサポートセンタです。サーバのディスク障害のため、パスワードファイルが一部破損したため…。」 実際には、もう少し手の込んだ前置きを置いて、電話で聞かざるを得ない理由や、専門用語を並べたりしながら、信じ込ませようとするでしょう。もし、実際に契約しているサービスプロバイダの名前を語る相手から、このような電話がかかってきたら、あなたは本当に、パスワードを教えることはないと断言できるでしょうか。
このパターンでは、サービスプロバイダのサポートセンタであると語ることで、(1)権威に弱い、という脆弱性が攻撃されています。パスワードが盗まれることで、アカウントが乗っ取られ、そこからさまざまな悪用が行われてしまいます。
通常、電話でパスワードを聞かれることはあり得ません。もしも、そのような怪しい電話があった場合は、まず相手の電話番号を聞き、折り返して連絡することが有効です。実際に、サービスプロバイダの公式な電話番号に対して連絡を行い、事実確認を行うことも有効です。
いちいち折り返して電話するのは面倒だと考えたりしていませんか?そこが、大きな落とし穴となります。
得てして人間は、面倒を避ける傾向があるため、攻撃者は、そこを逆手にとって攻撃しようとします。大事なことだからと、長々と電話をされたら面倒になって適当に答えたりしませんか?攻撃者は、そういった隙に付け込んで、最後に、本当に重要な情報を聞き出す質問を付け加えてきたりするのです。
◆ 次回は「サイバー攻撃を受けたら何をするべきか【手順1】」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)