架空の新人女性職員を使った侵入テスト、成功率100%を達成 61
巧妙だが引っかかるユーザーもどうなのよ 部門より
セキュリティ専門家が、米政府機関や大手金融機関をターゲットに架空の新人女性職員を装ったソーシャル・エンジニアリング手法を使い侵入テストを行ったところ、なんとすべてのケースで侵入に成功してしまったという結果が発表された(INTERNET Watchの記事)。
これは10月末に行われた「RSA Conference Europe 2013」で報告されたもので、このテストは米政府機関からの依頼に基づき昨年実施された。実験では、FacebookやLinkedIn上に「Emily Williams」という架空の女性アカウントを作成、さらにはネット上での検索結果に矛盾が出ないよう、(設定上の)出身大学関連の掲示板にも情報を掲載するなどの偽装工作が行われた。結果、「彼女」は誕生から僅か15時間で、対象機関の職員など約60名と繋がりを持つことに成功する。
その後、このアカウントから感謝祭やクリスマスといったイベントのたびにマルウェアを含んだメッセージを送信、職員や下請け業者、さらにはアンチウイルスベンダーらの業務用PCへの侵入に成功。最終的に彼らを踏み台にして、SNSを使用していなかったセキュリティ担当者の個人情報を取得、バースデーメッセージを装ったマルウェアを送信することで、機密情報へのアクセス権を獲得したという。
テストを行ったLakhani氏は、「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」とコメントした上で、「彼女」が最初に接触したのが機密情報とは縁のない周辺の部署であり、そうした人々が自分が狙われる危険性を認識していないことが問題だと述べている。
同種の実験としては、2010年に架空の女性「Robin Sage」による個人情報収集が行われており、今回のテストもそれをヒントにしたものだという。なお、架空の新人男性職員によるテストも行われたものの、こちらは一人も繋がりが出来ず失敗に終わったという。
どうなのよ、と言われても・・・>部門名 (スコア:5, すばらしい洞察)
おっぱいと比べたら経歴の不自然さなんてどうでもいいだろ(迫真)
Re:どうなのよ、と言われても・・・>部門名 (スコア:1)
72:「あんな脂肪の塊のどこがいいのかしら、くっ」
Re: (スコア:0)
架空の新人男性職員によるテストも行われたものの、こちらは一人も繋がりが出来ず失敗に終わったという。
なんとなくその理由であっていそうな予感・・・(思わず納得)
Re: (スコア:0)
女性社員が多い組織でもビキニのねーちゃんとかの方が人気があるのか気になる
男が多い女が少ないじゃなくておっさんはどっちからも求められていないのかも
笑い話にもなりゃしないけど (スコア:5, 興味深い)
とある企業が「自社のシステムに侵入できたら賞金あげます」ってコンテストやったんだ
しばらくして「侵入しました、これがその証拠です」ってCD-Rが送られてきた
んでもって中身はトロイの木馬、それを踏み台に改めて侵入されて終了
っていうのを見たことがある身からすると「セキュリティの最後の穴はどうやっても人間」だなぁ、としか
Re:笑い話にもなりゃしないけど (スコア:1)
セキュリティを売りにするところだと、出自のわからないもの開くときはせめてスタンドアローン環境とかで試さないのかな。
ターゲットが悪かったから男性の方は失敗したのでは (スコア:3, 興味深い)
ノーマルな男性ばかりだから男性俳優を使った方が失敗したんだろ
ゲイが多いとされるデザイン事務所、女性ばかりの職場だったら、男性職員でも成功したように思う
なんだかんだ言ってこの手の人たちはイケメンには弱いからな
Re:ターゲットが悪かったから男性の方は失敗したのでは (スコア:1)
言えてる...。
けどやっぱり本能的に男性って警戒されてるとは思うのよね。
女性凄腕クラッカーorハッカーってフィクションではよく出てくるモチーフだけど本当はあまりいないとか、男性のほうが野心が強く女性はそうでもないとかのバイアスが無意識にまで積み重なってて、そのうえで積極的に接触してくる女性にどうしても男性は弱いとかが乗ってきてこういう結果になったんじゃないかなーと。
Re: (スコア:0)
美人だとレディーファースト、女性優遇の結果でそうなっているだけでしょう。
これがブスな女なら男性と同じ扱いになるよ。
Re: (スコア:0)
>やっぱり本能的に男性って警戒されてるとは思うのよね。
本論を検証するためぜひ男性ゲイの多い職場に女性エージェントで挑んでみてもらいたい
Re:ターゲットが悪かったから男性の方は失敗したのでは (スコア:1)
>なんだかんだ言ってこの手の人たちはイケメンには弱いからな
男も女も顔面偏差値が重要なんすね
初めの段階 (スコア:2)
Facebookは登録だけしてその後利用していないのでよく知らないのですが
「フォロー」か「サークル」か「友達」とかに追加するのが最初の段階として、
その時に相手の会社の人事部に確認するケースってあるの?
いちいちそんなことされたら応対する人事部がめちゃくちゃ大変そう。
この件は、実名やら実所属をオープンにしているSNSならではの弊害に見えてしまう。
匿名が好まれる日本のSNSだとこうはいかないだろうけど、twitterやmixiだと勝手に自分で暴露しまくってるという欠点もあるか。
#ユーザ次第
Re:初めの段階 (スコア:1)
自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
確かに、小さな会社や事業所なら全員の顔と名前が一致することもあるでしょうけど、超のつく大企業とかだとそうはいかないでしょう。
だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
相手のことを知らないのであれば「そんなやついたっけ?」くらいの疑念は持たなくては。
# 言ってみれば、オレオレ詐欺の企業版(的手法を使ったソーシャルエンジニアリング)ってことになるのかな。
Re:初めの段階 (スコア:1)
>自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
違う会社じゃなくて、同じ会社で知らない女性からの申請だったのか。
でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。
人事部もそんなことされたら文句言いそうだけど、でかいところだとそうでもないのかな。
従業員なら閲覧できる社内人員名簿でもあればそれを見るだけでいいんだろうけど。
>だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
Facebook使ってる人たちって実際にその辺どうしてんでしょうね。
もしかしたら、本当にリアル生活で知ってる人以外のプロフィールはまるで信用してないんだろうか。
Re:初めの段階 (スコア:2, おもしろおかしい)
Re:初めの段階 (スコア:1)
映画も見てないけど、なるほどそれならば今でも100%性能が発揮されてるってことでOK。
Re:初めの段階 (スコア:1)
アイビーリーグのΦ・Κ・Λのような敗訴クラブのお友達限定で続けてくれていたらよかったのにと思わないでもない。
Re:初めの段階 (スコア:1)
全社(+関連会社および協力会社の常駐者)ディレクトリサービスが提供されている職場であれば利用して在籍者の確認できますね。日立製作所とか。
Re:初めの段階 (スコア:1)
そういう会社ってみんなしてFacebook使ってて、部内や関係部署全員友達申請(?)とかするんだろうか。
と思ったけどそれはさすがにうざいからやらないだろうね。
いいとこ取引先との営業上のつながりで登録とかならしてそうだけど。
ITなんとかのイマドキのソレ系な会社ならみんな登録してるのはありそうだ。
Re:初めの段階 (スコア:1)
ごく一部の人間を除いて作業用の閉じたLANで仕事をする場所であり時間限定のプロジェクトであれば必要ないでしょう。
実際それで事足りた。
長期に渡って同じところで引き続き働く人のことは…しばらくそういう就業していないのでわからないですねえ。
20世紀とは常識も変わっているだろうし。
Re: (スコア:0)
ですね。
ただ、いちいち人事部に確認を取れるのか?(そんな手間を掛けられるのか? 名乗ってきた相手に失礼にならないか?)という手段はあまり本質的なことではないのでしょう。
それこそ、人事部に確認したところで「ネットの向こうの相手と、ウチの会社にいる○○さんが同一人物かどうか」はわからないわけですから。
考えるべきは、信用するなら何らかの手段で相手の身分を確認してからにしましょう(ではその手段とは?)、という問題なのだと思います。
Re:初めの段階 (スコア:1)
>おそらくですけど、今回の侵入テストが成功してしまったということは、少なくない人間が「a」の対応を取ってしまっているような感じですね。
これをお手本にしてお手軽にraidしようとするケースが増えるんじゃないかと思った。
侵入のツールとして使われてしまったFacebookとかはどう思ってるんだろう。
Re: (スコア:0)
SNSの場合、友達の友達である事がセキュリティ的な警戒心を下げる要因になるのは仕方ない気もするなぁ。
友達がその偽物とよくコメントのやり取りをしていたら実在するんだと思っちゃうだろうし。
今回の実験もそこを突いたものだよね。
Re:初めの段階 (スコア:1)
Re:初めの段階 (スコア:1)
非在なのか実在なのかはいちいち人手を煩わせて確認しなくてもよいようになっていればよかろうに(関係者外秘の組織図で確認できるようになっていれば--全社ディレクトリにアクセス可能な人であれば照会可とか)であればアクセスログが残るのであってもいいのかな)、と思ってみたり。
20世紀の中小会社であれば総務経理人事兼任担当が「問い合わせてくれれば答え(てあげ)ます」というところが多かったと自分の経験から想像しているんですが、今でもあまり変わってないんでしょうね。大小にかかわらず、フットワークの、風通しの悪い組織というくくりなら。
特定秘密保護法はクソ (スコア:1)
SNSで隣のオフィスのEmilyちゃんに職場のことや仕事のこと教えてあげてたら、ある日突然SNSで情報漏洩しただろとか言われて逮捕されたんだが、糞すぎる。
Emilyちゃんは外部の人間じゃなくて、そもそもうちの新人だっつうの!
会社の同僚みんなともメッセージやり取りしてるのが見えねえのかと。
ん?Emilyちゃんはどんな娘かって?美人な上に、今どきの若者にしては礼儀もしっかりしてて気が利く良い娘だよ。
イベントごとの度に可愛らしいグリーティングメール送ってくるし。
直接あったことはないけど、きっと部署でも人気者なんじゃないか?
ふぅ… (スコア:0)
ああ…
凄く…残念な結果です
2月14日に (スコア:0)
チョコバー [srad.jp]を報酬にしました。
馬鹿はどこの組織にも一定数いる (スコア:0)
怪しいと思ったらふつう無視するよね。
> 職員を名乗る不審人物を見つけたらすぐに人事部に連絡する
なんてクソめんどくさいこと、いちいちしないよ。
普通の人は無視する。馬鹿は騙される。
どこの組織にも馬鹿は一定数いる。
どこの組織でも騙される奴が出る。
長期間発覚しなくても何の不思議もないと思う。
Re:馬鹿はどこの組織にも一定数いる (スコア:2)
しかしそれだけじゃ最後の一文の言い訳ができないッッ!!!!!!
Re:馬鹿はどこの組織にも一定数いる (スコア:1)
では、追加:バカは大抵男である。
Re:馬鹿はどこの組織にも一定数いる (スコア:2)
大抵の男はバカになる。おっぱいの前では
こうだな
Re:馬鹿はどこの組織にも一定数いる (スコア:1)
だから男はバカなのだーー(東方不敗
Re:馬鹿はどこの組織にも一定数いる (スコア:1)
実際なんかで、「男性はおっぱい大きい人の写真の前では判断力が低下する」って研究結果が出てるらしいですよ。
「おっぱい大きい人の前」でも「おっぱい大きい知り合いの写真」でもなく、単純におおきいおっぱいによって男性の判断力は落ちるのです。
Re:馬鹿はどこの組織にも一定数いる (スコア:1)
>普通の人は無視する。馬鹿は騙される。
アレゲな人は時々つついて観察してオチョクル。
#そしてミイラ取りがミイラに
Re:馬鹿はどこの組織にも一定数いる (スコア:1)
>どこの組織にも馬鹿は一定数いる
いるんだよね〜 (しみじみ…)
聞けば納得の結果だよな。
the.ACount
また「脳内彼女」か! (スコア:0)
ニュースでManti Te’oの話が蒸し返されるんだな
※ただし (スコア:0)
以下略
タイトルだけ読んで (スコア:0)
普通にリアル社会で、新人と名乗ってターゲットのオフィスに入り込んだのかと思ったらオンラインだった・・・
日本の場合、
Facebookなら、意識高い系の学生が使ってて、友達の数自慢とかあるみたいだし、就職後も気軽に友達登録を許可するだろうね。
本筋とは関係ないけど、Facebookユーザーでも公開範囲について理解してない人も多く、個人的なことをPublicで投稿してる人がホントに多い。
ソーシャルエンジニアリングのターゲットにされるんじゃないかな。
Re: (スコア:0)
意識って何かわからないけど
意識の低い人達でしょ。
ただの馬鹿発見器だよ。
Re: (スコア:0)
その通りですよ。意識高い系って言葉はそういう意味です。
犯罪にはならない? (スコア:0)
政府機関からの依頼なら犯罪にはならない?
ターゲットの企業にも根回し済み?
そうでないなら普通に不正アクセスだよね?
Re:犯罪にはならない? (スコア:3)
うん。実験をした研究者の一人、 Joseph Muniz さんのブログ記事 [thesecurityblogger.com]に、「We had executive approval before conducting the experiment.」 (実験を行う前に上層部 (会社の経営陣とか) の了承を得ている) と書いてある。
Re:犯罪にはならない? (スコア:1)
そして、実験が成功するように全社に上層部からの内々の通達が・・・・・。(100%達成の特定秘密です)
Re:犯罪にはならない? (スコア:1)
人事部員「ぶちょー、知らない人からのあやしいコンタクトがあって本当に当社に在籍してるかどうかの確認が来てますけど」
人事部長「ああ、ソイツは取締役から通達のあった例のアレだ。問題ないと言っておけ」
とかいうシーンを連想した
Re: (スコア:0)
>米政府機関や大手金融機関をターゲットに
とあるので、米政府機関については依頼主と同じ組織なのでしょうし、
大手金融機関についても、対象組織(の少なくとも経営層)とは合意していたのではないでしょうか。
合意がないと、まあ普通に犯罪ですよね…。
偽装工作 (スコア:0)
>「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」
人事部に確認されればバレるって判ってるのに対策してなかったのかな?
いやもちろん人事部も偽装して用意してたんだよね?
誰も来なくてガッカリみたいな
直接の侵入はメール添付のマルウェア経由でしょ。 (スコア:0)
そこんところでどうにかできなかったのかな。
何か実行しちゃったのかね。
それとも最近のマルウェアはメーラーで眺めるだけで感染するとか?
適材適所 (スコア:0)
こういうのは、2次元しか信用しない自宅警備員の方がセキュアだろう。
# 初音ミクで偽装されると簡単に突破されるかも。
Re:適材適所 (スコア:1)
逆にbotからのメールにメロメロに萌えたりして