ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

ソーシャル・エンジニアリングこそがサイバー攻撃の一里塚

2013.06.14

結局、最大にして最後のセキュリティホールは知識の伴わない無警戒な人間の脳である、という当たり前の結論に達するのでありました。

山本一郎です。最近、対人スキルだけで生きている感じがします。

世間を騒がせた「パソコン遠隔操作事件」について、捜査本部は「ウイルス作成容疑」を立件することなく、事実上の捜査を終了したと報道されています。この件に関しては色々な見方ができると思いますが、こういう見方もあるということで以下の記事をご紹介しておきます。いわば警察の威信を賭けた戦いであったわけですが、苦い後味ばかりが残ったという感慨があります。

PC遠隔操作ウィルス事件「警察の敗北宣言」で見えたIT捜査の稚拙さ(EXドロイド 2013/6/12)

そして、この事件に関連した一連の報道をきっかけにして、おそらく日本国民の多くが「遠隔操作」というものを改めて認識したのではないでしょうか。パソコンというものは知らない誰かに遠隔操作されてしまう可能性があるのだという。

そんな矢先に、また「遠隔操作」にまつわるとんでもない話がニュースとして流れてきました。

ネット勧誘 業者の「遠隔操作」に注意(NHKニュース 2013/6/14)
“遠隔操作”によるプロバイダ勧誘トラブルが多発……国民生活センターが注意喚起(RBB TODAY 2013/6/13)

プロバイダの契約にあたり「事業者から電話で勧誘され、よく理解せず言われるままにパソコンを操作し、事業者に自分のパソコンを“遠隔操作”してもらったところ、承諾していないプロバイダ等の契約に申し込まれてしまった」等というトラブルが複数寄せられているという。さらに、こういったケースでは、消費者と事業者との間における合意内容を事後に確認しにくく、解決が難しいとしている。RBB TODAY
国民生活センターのホームページにも注意を促す記事が掲載されています。

速報!“遠隔操作”によるプロバイダ勧誘トラブルにご注意!(国民生活センター)

こうした事例が以前にも報告されていなかったか検索してみたところ、やはりありました。個人ブログや質問サイトなどに疑問を投げかけている例が散見されます。

詐欺じゃないのか???(日々是迷走中 2013/1/12)
プロバイダの電話勧誘で...(教えて!goo 2012/7/7)
チームビューアーをインストールして・・・(OKWave 2011/3/30)
プロバイダーの切り替えしませんか? という電話がかかってきまして 遠隔操作しな...(Yahoo!知恵袋 2011/3/27)

言葉巧みにIPアドレスやら預金口座番号などを聞き出された、というのだ。
千葉県の業者だそうだが。日々是迷走中
被害者がよく分からない状況を利用して、PCの遠隔操作についての同意をとりつけてしまうあたりは、まさに典型的なソーシャル・エンジニアリングです。ハッキング、というよりは今回のような悪意のある行為の場合はクラッキングと呼ぶ方が相応しいですが、こうしたクラッキングの第一歩は特殊なIT技術が使われるのではなく、ほとんどが人間同士の会話です。口八丁で騙した後に便利なIT技術を利用して仕掛けるという段取りで、これは実は「オレオレ詐欺」、もとい「母さん助けて詐欺」(でしたっけ?)で電話した後にATMに振り込ませるのと考え方は同じです。もっとも最近の母さん助けて詐欺は、ATMを使うの避けて実際に被害者宅の玄関まで取り立てに来るそうですが。

それにしても「以前より高い月額利用料となっただけでなく、頼んでいない映像配信サービスやリモートサービス等も契約したことになっていた」(RBB TODAY)などというのはなんとも姑息な話です。

たまたま同じタイミングで、サイバー攻撃対策やパソコン遠隔操作事件を受けて、警察庁がハッカー技術コンテストを後援するという報道もありました。

ハッカー技術コンテスト:警察庁が後援決定(毎日新聞 2013/6/13)

記事を読むと「技術者のスキル高度化の観点から、警察職員の有志が自己研さんとして参加することも推奨したい」と、なんとも勇ましいかけ声です。ただ、先ほども書きましたが、実際のハッキング/クラッキングというのは、実はソーシャル・エンジニアリングが入口であることが多いわけですね。そういう意味では、まずは果たして警察にソーシャル・エンジニアリング耐性があるのかということも大いに問われることになります。

地検、被害者の住所伝える川崎、強制わいせつ被告に(朝日新聞 2013/6/14)

捜査機関の不手際で加害者に被害者の個人情報が漏れる事態はほかにもあり、被害者情報の保護の徹底が図られてきたが、また不手際が明るみに出た。朝日新聞
こうした話を聞くと、守られるべき情報がここでもソーシャル・エンジニアリングによってダダ漏れになっているように見えなくもありません。技術だけが研鑽されても人としての研鑽がおろそかでは上手くいかないという話でもあるのかなと感じた次第です。

まあ、技術が進歩を続けても、一番停滞するのは人間の知識への意欲であるという典型例ですね。と、今日も紙に印刷された発注ファックスを受け取りながら思うのでありました。