ソーシャルエンジニアリングで攻撃者が標的とするのは「人」だ。脆弱性と呼ばれる技術面での弱点よりも、個人の信頼や感受性を悪用している点に特徴がある。そして、「人」を欺くことによって機密情報を提供させたり、攻撃者がシステムにアクセスできるようにさせたりするための操作を行うよう仕向けていく。
また、ビジネスメール詐欺(通称、BECとも呼ばれる)は、特に企業を標的として用いられることの多いソーシャルエンジニアリングの一種だ。攻撃者はビジネスパートナー、サプライヤー、上級管理職などの信頼できる人物に「なりすます」ことで、機密情報を要求したり送金指示を出したりする。このような手口を使われてしまうと、ファイアウォールやアンチウイルスソフトといった企業に導入されている多くの技術的保護を回避することができてしまう可能性がある。
攻撃増加の背景には、サイバー犯罪者の高度化や、クラウドベースの電子メールサービス利用拡大、ビジネスのグローバル化など様々な要因がある。特に、海外に現地法人を持つ企業では、セキュリティに関する基準や体制が本社とは異なっていることから、その違い(多くの場合は、本社よりも低い基準)を利用して機密情報にアクセスし易い格好の標的と見るむきもある。
前述のとおり、攻撃者から見て「人」がソーシャルエンジニアリングの機会となっているので、このような攻撃を防ぐためには従業員の教育や啓発による意識向上、最新の手口に関する情報の共有などによって、一本目の防衛線を築こうとする取り組みは多く見られる。
また、ビジネスメール詐欺においてはメールが主な媒介となるため、メールに関連したセキュリティ対策を講じることが重要となる。具体的には、多要素認証(MFA)や暗号化製品の導入、メールで共有できる機密情報の量を制限する社内ポリシーの策定といった取り組みが行われている。
また、他のサイバーリスクと同様に「絶対大丈夫」と言える100%のサイバーセキュリティは困難であるため、攻撃が成功するリスクを減らすことと同時に、攻撃が成功してしまった際に事業に及ぼす影響を最小限にするための備えも重要となる。
具体的には、サイバー攻撃に伴う機会損失を想定した備えや、インシデント対応プランの策定、弁護士など外部専門家にすぐにアクセスできるようにしておくといった取り組みが行われている。
ソーシャルエンジニアリングと言われてピンとこなかったとしても、「フィッシング詐欺」と言われればご存知の方も多いのではないだろうか。ソーシャルエンジニアリングの数ある手口の中でも、日常的に見かける機会が多い手口だ。
偽メールや電話、ウェブサイトを利用して銀行や政府機関、IT企業のサポートセンターなどを装って仕掛けてくる攻撃である。例えば、銀行を装った偽メールを送ることで、標的となった人物がユーザー名やパスワードなどの口座情報を入力してしまうように仕向けたりもする。
ソーシャルエンジニアリングの一つであるプリテキスティング(pretexting)という手口では、IT企業やサイバーセキュリティ企業の従業員を装って標的にコンタクトし、次の攻撃のためにラップトップのOSやパスワードなどを巧妙に聞き出す手口もある。要は「なりすまし」だ。テクニカルサポートの担当者を装って標的に電話をかけ、ITの問題を解決するためにと称してパスワードやその他の機密情報を聞き出している。
そして、攻撃者がUSBドライブなどの物理デバイスに “機密ファイル” などの目を惹くラベルを付けて公共の場に放置するのも、ソーシャルエンジニアリングの一つだ。もちろん、このデバイスを拾ってラップトップに接続してしまえば、マルウェアをインストールされてしまったり、機密情報が盗まれてしまったりすることがあるので注意が必要である。
また、ビジネスメール詐欺では、攻撃者が時間をかけて標的とした企業のコミュニケーションパターンを研究しており、慎重に被害者を狙っていくことが多い。そのため、狙われていることにすぐに気が付くとは限らない。特に海外現地法人が狙われると、時差や言語の障壁も相まって発見が遅れてしまうこともある。
強固なセキュリティ対策が施されていたとしても、ソーシャルエンジニアリングによって従業員が易々と攻撃者を中に招き入れてしまえば、金銭的損失や情報の窃取といった深刻な結果をもたらす可能性さえある。
さて、この1年あまりの間にAIが急速に発展し、サイバー犯罪を行う側においても多く活用されるようになった。AIの発展とその背景についてはその道の専門家に譲るとして、本稿では言及しない。既に、AIによって脆弱性を見つけ出したり、新たなマルウェアを作成することが可能であるということは多くの研究者らによっても検証されている。
また、AIは作文や論文の執筆から添削までできる能力も持ち合わせている。ビジネスメール詐欺で送りつけてくるメールの本文を作成するどころか、AIを活用して攻撃の成功確率を上げられるように文面を継続的に洗練させていくことも可能だ。
もしかしたら、被害者が会話をしている相手さえもAIかもしれない。
そして、ディープフェイクと呼ばれる技術を用いれば、AIが作り出した偽物の上司がウェブ会議に出席することも可能であり、実際に企業での被害事例も出ている。
百聞は一見に如かずということで、動画共有サイトなどで「ディープフェイク」や「deep fake」といったキーワードで検索してみられると、その本物のような偽物の動画に驚かされることだろう。本物のような偽物が会議の場にいたら、メールや電話による従来の手口よりも騙され易いかもしれない。百聞は一見に如かずだからだ。
ディープフェイクやその他のAIベースでのサイバー攻撃による脅威は高まり続けており、これらの最新動向についても情報収集を行って、潜在的なリスクを認識しておく必要がある。
多くの企業ではリスクマネジメント戦略として、潜在的なリスクの特定と、そのリスクを軽減するための対策の実施を含む、包括的なリスク管理戦略と事業継続計画を実施している。
しかし残念ながら、私たちがイノベーションによる恩恵を享受しているのと同時に、攻撃者もこの恩恵を享受している。これはAIが「悪」だと言いたいわけではない。自動車や包丁だって使い方を誤れば脅威となることと同じだ。そして、攻撃者は脅威にイノベーションを持ち込んで新たな脅威を生み出し、企業の抱える潜在的なリスクを飛躍的に高め続けているという現状がある。
最後に、実はこのコラムの大部分は、AIによって書き出されたものだ。AIに執筆させるためには細かい要件やニュアンスを伝える必要もあり、AIへの指示の出し方を少しずつ工夫しながら改善し続けることで、イメージに近い文章が出力されるよう仕上げていった。
残念ながら、自分自身で執筆するよりも多くの時間を費やしてここまで辿り着くことができた。
しかし、AIは日々進化し続けているため、次にコラムをAIに書かせる機会があれば、それはより容易なことになっているだろう。
AIによって欺かれないよう、見抜くことはできるのだろうか。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
