攻撃の標的になりやすい新入社員
2019 年 7 月 11 日 Trevor Collins 著
ソーシャルエンジニアリングを使った一般的な攻撃の成功率が低いのに対し、特定の会社の特定の人を狙った標的型攻撃は成功率がはるかに高くなります。この記事では、IBM X-Force Red でソーシャルエンジニアリングのテストを担当している Stephanie “Snow” Carruthers 氏が解説している、ソーシャルエンジニアリング攻撃を始めるための情報収集の方法を紹介します。
非倫理的なソーシャルエンジニアでは、多くの場合にソーシャルメディアを使って標的とする企業の情報を収集します。彼女は、ソーシャルメディアから得られるコンテンツの 75% は新入社員からのものであると指摘しています。新入社員はセキュリティトレーニングを受けておらず、自分の新しい仕事をソーシャルメディアで友人に宣伝することがよくあります。背景に写っているホワイトボードやコンピュータのデスクトップの画像から、利用しているプログラムが分かれば、その個人に送りつけるメールを作成する際のヒントになります。たとえば、ホワイトボードに「ソフトボール部の入部受け付け」と書かれていたのであれば、「ソフトボール部の予定」という件名のメールを送ることで、何人かのユーザを騙せるかもしれません。入館証の写真が投稿に写っている場合、それをコピーして自分の写真をその入館証に貼り付けることで、鍵のかかった扉を通ることができるでしょう。会社の内部に立ち入ることができれば、机に貼ってあるパスワードやホワイトボードに書かれたままの Wi-Fi パスワードをコピーされてしまうかもしれません。大企業であれば、毎日のように顔見知りでない人に会うこともあるため、侵入者が既に社内に立ち入っていたとしても疑問を持つ人はいません。
こういった写真を投稿する新入社員が後をたたないのは、トレーニングが不足しているためです。多くの新入社員がセキュリティのトレーニングを受けるのは、おそらくは入社から数週間後のことです。入社後のなるべく早い段階で、自分の仕事や職場のことをソーシャルメディアで公開することのリスクを知らせることが、このような脆弱性を軽減する極めて有効な手段となります。