- 「日本における情報セキュリティのグローバル・スタンダード化を考える」勉強会レポート
人の「優しさ」が裏目に?ケビンがセキュリティ認知度の低さに警鐘!
人間の隙につけ込むソーシャルエンジニアリングとは?ケビン・ミトニックが狙われやすい手口や対策方法を紹介しました。
いくらテクノロジーが進化しようとも、セキュリティにおいて重要な鍵を握るのは「人間的要素」だとケビンは主張する。
セキュリティ対策としてファイアウォールを投資しても、人が騙されれば意味がない。パスワードもセキュリティの点では有効ではあるが、ソーシャルエンジニアリングの手法を用いればにパスワードを簡単に取得することが可能であるという。
ソーシャルエンジニアリングとは、コンピュータ本体に被害を与えずに、人間の隙につけこんで秘密情報を入手したパスワードなどを用いて不正侵入することである。ハッカーにとってはシステムよりも人間を攻撃したほうが簡単で時間も掛からず欲しい情報を得られるわけだ。
ではどのように個人の秘密情報を得るのか?例えば、アンケートを取るかのように生年月日を尋ねる方法。
なぜかと聞かれても「成人かどうか確認するため」と言われたら納得して記入してしまうのではないだろうか。
そして、人間の欲を利用し無料でペンなど品物を配ることにも情報収集する効果がある。
さらには、既存顧客になりすましてパスワードを忘れたから教えてくれないかと聞くこともできる。特にヘルプデスクはお客を助けようとする姿勢があるため狙われやすいと指摘する。
他、カード会社からのメールを装い、WebサイトにURLを載せるのではなく、電話番号を記入しておく。そしてそこに掛けさせIDや暗証番号などを入力させて盗み出す方法もある。
以上のように様々な事例を挙げ、セキュリティに対しての私たちの認識の甘さにケビンは講義を通し警鐘をならした。セキュリティの脆弱性を認識すること、またそのための教育を通じ、意識を高めること、自己防衛を行うことなどで対応していく重要さをあげた。
- 2008年5月19日:「日本における情報セキュリティのグローバル・スタンダード化を考える」勉強会
NPO法人日本ITイノベーション協会 JITA勉強会のご案内(終了しました) 参加申し込み(終了しました) |
また、Zenlok株式会社の5月14日~16日に東京ビッグサイトで開催された「第5回 情報セキュリティEXPO」レポートはこちらです。