パスワードを忘れた? アカウント作成
10356423 story
SNS

架空の新人女性職員を使った侵入テスト、成功率100%を達成 61

ストーリー by hylom
巧妙だが引っかかるユーザーもどうなのよ 部門より
あるAnonymous Coward 曰く、

セキュリティ専門家が、米政府機関や大手金融機関をターゲットに架空の新人女性職員を装ったソーシャル・エンジニアリング手法を使い侵入テストを行ったところ、なんとすべてのケースで侵入に成功してしまったという結果が発表された(INTERNET Watchの記事)。

これは10月末に行われた「RSA Conference Europe 2013」で報告されたもので、このテストは米政府機関からの依頼に基づき昨年実施された。実験では、FacebookやLinkedIn上に「Emily Williams」という架空の女性アカウントを作成、さらにはネット上での検索結果に矛盾が出ないよう、(設定上の)出身大学関連の掲示板にも情報を掲載するなどの偽装工作が行われた。結果、「彼女」は誕生から僅か15時間で、対象機関の職員など約60名と繋がりを持つことに成功する。

その後、このアカウントから感謝祭やクリスマスといったイベントのたびにマルウェアを含んだメッセージを送信、職員や下請け業者、さらにはアンチウイルスベンダーらの業務用PCへの侵入に成功。最終的に彼らを踏み台にして、SNSを使用していなかったセキュリティ担当者の個人情報を取得、バースデーメッセージを装ったマルウェアを送信することで、機密情報へのアクセス権を獲得したという。

テストを行ったLakhani氏は、「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」とコメントした上で、「彼女」が最初に接触したのが機密情報とは縁のない周辺の部署であり、そうした人々が自分が狙われる危険性を認識していないことが問題だと述べている。

同種の実験としては、2010年に架空の女性「Robin Sage」による個人情報収集が行われており、今回のテストもそれをヒントにしたものだという。なお、架空の新人男性職員によるテストも行われたものの、こちらは一人も繋がりが出来ず失敗に終わったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月10日 13時42分 (#2509300)

    当該機関の近くにあり、職員の多くが利用しているレストラン「フーターズ」のウエイトレスの写真を、本人の同意を得た上で「Emily Williams」の写真として使っていたそうですが、誰も気付かなかったそうです。

    おっぱいと比べたら経歴の不自然さなんてどうでもいいだろ(迫真)

    • 72:「あんな脂肪の塊のどこがいいのかしら、くっ」

      親コメント
    • by Anonymous Coward

      架空の新人男性職員によるテストも行われたものの、こちらは一人も繋がりが出来ず失敗に終わったという。

      なんとなくその理由であっていそうな予感・・・(思わず納得)

    • by Anonymous Coward

      女性社員が多い組織でもビキニのねーちゃんとかの方が人気があるのか気になる
      男が多い女が少ないじゃなくておっさんはどっちからも求められていないのかも

  • by Anonymous Coward on 2013年12月10日 18時43分 (#2509521)

    とある企業が「自社のシステムに侵入できたら賞金あげます」ってコンテストやったんだ
    しばらくして「侵入しました、これがその証拠です」ってCD-Rが送られてきた
    んでもって中身はトロイの木馬、それを踏み台に改めて侵入されて終了

    っていうのを見たことがある身からすると「セキュリティの最後の穴はどうやっても人間」だなぁ、としか

  • by Anonymous Coward on 2013年12月10日 13時58分 (#2509317)

    ノーマルな男性ばかりだから男性俳優を使った方が失敗したんだろ
    ゲイが多いとされるデザイン事務所、女性ばかりの職場だったら、男性職員でも成功したように思う
    なんだかんだ言ってこの手の人たちはイケメンには弱いからな

    • 言えてる...。

      けどやっぱり本能的に男性って警戒されてるとは思うのよね。
      女性凄腕クラッカーorハッカーってフィクションではよく出てくるモチーフだけど本当はあまりいないとか、男性のほうが野心が強く女性はそうでもないとかのバイアスが無意識にまで積み重なってて、そのうえで積極的に接触してくる女性にどうしても男性は弱いとかが乗ってきてこういう結果になったんじゃないかなーと。

      親コメント
      • by Anonymous Coward

        美人だとレディーファースト、女性優遇の結果でそうなっているだけでしょう。
        これがブスな女なら男性と同じ扱いになるよ。

      • by Anonymous Coward

        >やっぱり本能的に男性って警戒されてるとは思うのよね。

        本論を検証するためぜひ男性ゲイの多い職場に女性エージェントで挑んでみてもらいたい

    • >なんだかんだ言ってこの手の人たちはイケメンには弱いからな

      男も女も顔面偏差値が重要なんすね

      親コメント
  • by nemui4 (20313) on 2013年12月10日 13時53分 (#2509311) 日記

    「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」

    Facebookは登録だけしてその後利用していないのでよく知らないのですが
    「フォロー」か「サークル」か「友達」とかに追加するのが最初の段階として、
    その時に相手の会社の人事部に確認するケースってあるの?
    いちいちそんなことされたら応対する人事部がめちゃくちゃ大変そう。

    この件は、実名やら実所属をオープンにしているSNSならではの弊害に見えてしまう。

    匿名が好まれる日本のSNSだとこうはいかないだろうけど、twitterやmixiだと勝手に自分で暴露しまくってるという欠点もあるか。
    #ユーザ次第

    • by Anonymous Coward on 2013年12月10日 14時18分 (#2509334)

      その時に相手の会社の人事部に確認するケースってあるの?

      自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。

      確かに、小さな会社や事業所なら全員の顔と名前が一致することもあるでしょうけど、超のつく大企業とかだとそうはいかないでしょう。
      だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
      相手のことを知らないのであれば「そんなやついたっけ?」くらいの疑念は持たなくては。

      # 言ってみれば、オレオレ詐欺の企業版(的手法を使ったソーシャルエンジニアリング)ってことになるのかな。

      親コメント
      • by nemui4 (20313) on 2013年12月10日 14時56分 (#2509360) 日記

        >自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。

        違う会社じゃなくて、同じ会社で知らない女性からの申請だったのか。
        でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。
        人事部もそんなことされたら文句言いそうだけど、でかいところだとそうでもないのかな。
        従業員なら閲覧できる社内人員名簿でもあればそれを見るだけでいいんだろうけど。

        >だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。

        Facebook使ってる人たちって実際にその辺どうしてんでしょうね。
        もしかしたら、本当にリアル生活で知ってる人以外のプロフィールはまるで信用してないんだろうか。

        親コメント
        • Re:初めの段階 (スコア:2, おもしろおかしい)

          by deleted user (46034) on 2013年12月11日 9時15分 (#2509821)
          ふえいすぶつくって、もともとガールハント(笑)させるつもりで作り込みがされたんですよね? まっとうな結果じゃないですか(笑)
          親コメント
        • by shibuya (17159) on 2013年12月10日 15時08分 (#2509365) 日記

          全社(+関連会社および協力会社の常駐者)ディレクトリサービスが提供されている職場であれば利用して在籍者の確認できますね。日立製作所とか。

          親コメント
          • by nemui4 (20313) on 2013年12月10日 16時02分 (#2509406) 日記

            そういう会社ってみんなしてFacebook使ってて、部内や関係部署全員友達申請(?)とかするんだろうか。
            と思ったけどそれはさすがにうざいからやらないだろうね。
            いいとこ取引先との営業上のつながりで登録とかならしてそうだけど。

            ITなんとかのイマドキのソレ系な会社ならみんな登録してるのはありそうだ。

            親コメント
            • by shibuya (17159) on 2013年12月10日 16時28分 (#2509423) 日記

              ごく一部の人間を除いて作業用の閉じたLANで仕事をする場所であり時間限定のプロジェクトであれば必要ないでしょう。
              実際それで事足りた。
              長期に渡って同じところで引き続き働く人のことは…しばらくそういう就業していないのでわからないですねえ。
              20世紀とは常識も変わっているだろうし。

              親コメント
        • by Anonymous Coward

          でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。

          ですね。
          ただ、いちいち人事部に確認を取れるのか?(そんな手間を掛けられるのか? 名乗ってきた相手に失礼にならないか?)という手段はあまり本質的なことではないのでしょう。
          それこそ、人事部に確認したところで「ネットの向こうの相手と、ウチの会社にいる○○さんが同一人物かどうか」はわからないわけですから。
          考えるべきは、信用するなら何らかの手段で相手の身分を確認してからにしましょう(ではその手段とは?)、という問題なのだと思います。

          • by nemui4 (20313) on 2013年12月10日 17時08分 (#2509451) 日記

            >おそらくですけど、今回の侵入テストが成功してしまったということは、少なくない人間が「a」の対応を取ってしまっているような感じですね。

            これをお手本にしてお手軽にraidしようとするケースが増えるんじゃないかと思った。
            侵入のツールとして使われてしまったFacebookとかはどう思ってるんだろう。

            親コメント
      • by Anonymous Coward

        SNSの場合、友達の友達である事がセキュリティ的な警戒心を下げる要因になるのは仕方ない気もするなぁ。
        友達がその偽物とよくコメントのやり取りをしていたら実在するんだと思っちゃうだろうし。
        今回の実験もそこを突いたものだよね。

    • by buraineko (40036) on 2013年12月11日 19時07分 (#2510436)
      人事部に確認すると、当然のことながら人事部から理由を根掘り葉掘り聞かれる事になります。 個人的な情報を全開示するのが好きな人でなければ、かなり抵抗感があると思うのですよね。
      親コメント
      • by shibuya (17159) on 2013年12月11日 19時22分 (#2510447) 日記

        非在なのか実在なのかはいちいち人手を煩わせて確認しなくてもよいようになっていればよかろうに(関係者外秘の組織図で確認できるようになっていれば--全社ディレクトリにアクセス可能な人であれば照会可とか)であればアクセスログが残るのであってもいいのかな)、と思ってみたり。
        20世紀の中小会社であれば総務経理人事兼任担当が「問い合わせてくれれば答え(てあげ)ます」というところが多かったと自分の経験から想像しているんですが、今でもあまり変わってないんでしょうね。大小にかかわらず、フットワークの、風通しの悪い組織というくくりなら。

        親コメント
  • by Anonymous Coward on 2013年12月10日 16時15分 (#2509414)

    SNSで隣のオフィスのEmilyちゃんに職場のことや仕事のこと教えてあげてたら、ある日突然SNSで情報漏洩しただろとか言われて逮捕されたんだが、糞すぎる。
    Emilyちゃんは外部の人間じゃなくて、そもそもうちの新人だっつうの!
    会社の同僚みんなともメッセージやり取りしてるのが見えねえのかと。

    ん?Emilyちゃんはどんな娘かって?美人な上に、今どきの若者にしては礼儀もしっかりしてて気が利く良い娘だよ。
    イベントごとの度に可愛らしいグリーティングメール送ってくるし。
    直接あったことはないけど、きっと部署でも人気者なんじゃないか?

  • by Anonymous Coward on 2013年12月10日 13時37分 (#2509297)

    ああ…
    凄く…残念な結果です

  • by Anonymous Coward on 2013年12月10日 13時41分 (#2509299)

    チョコバー [srad.jp]を報酬にしました。

  • by Anonymous Coward on 2013年12月10日 13時50分 (#2509308)

    怪しいと思ったらふつう無視するよね。
    > 職員を名乗る不審人物を見つけたらすぐに人事部に連絡する
    なんてクソめんどくさいこと、いちいちしないよ。

    普通の人は無視する。馬鹿は騙される。
    どこの組織にも馬鹿は一定数いる。
    どこの組織でも騙される奴が出る。
    長期間発覚しなくても何の不思議もないと思う。

  • by Anonymous Coward on 2013年12月10日 13時57分 (#2509315)

    ニュースでManti Te’oの話が蒸し返されるんだな

  • by Anonymous Coward on 2013年12月10日 13時57分 (#2509316)

    以下略

  • by Anonymous Coward on 2013年12月10日 14時01分 (#2509322)

    普通にリアル社会で、新人と名乗ってターゲットのオフィスに入り込んだのかと思ったらオンラインだった・・・

    日本の場合、
    Facebookなら、意識高い系の学生が使ってて、友達の数自慢とかあるみたいだし、就職後も気軽に友達登録を許可するだろうね。
    本筋とは関係ないけど、Facebookユーザーでも公開範囲について理解してない人も多く、個人的なことをPublicで投稿してる人がホントに多い。
    ソーシャルエンジニアリングのターゲットにされるんじゃないかな。

    • by Anonymous Coward

      意識って何かわからないけど
      意識の低い人達でしょ。
      ただの馬鹿発見器だよ。

      • by Anonymous Coward

        その通りですよ。意識高い系って言葉はそういう意味です。

  • by Anonymous Coward on 2013年12月10日 14時36分 (#2509350)

    政府機関からの依頼なら犯罪にはならない?

    ターゲットの企業にも根回し済み?
    そうでないなら普通に不正アクセスだよね?

    • ターゲットの企業にも根回し済み?

      うん。実験をした研究者の一人、 Joseph Muniz さんのブログ記事 [thesecurityblogger.com]に、「We had executive approval before conducting the experiment.」 (実験を行う前に上層部 (会社の経営陣とか) の了承を得ている) と書いてある。

      親コメント
      • by Anonymous Coward on 2013年12月10日 17時00分 (#2509445)

        そして、実験が成功するように全社に上層部からの内々の通達が・・・・・。(100%達成の特定秘密です)

        親コメント
        • 人事部員「ぶちょー、知らない人からのあやしいコンタクトがあって本当に当社に在籍してるかどうかの確認が来てますけど」
          人事部長「ああ、ソイツは取締役から通達のあった例のアレだ。問題ないと言っておけ」

          とかいうシーンを連想した

          親コメント
    • by Anonymous Coward

      >米政府機関や大手金融機関をターゲットに

      とあるので、米政府機関については依頼主と同じ組織なのでしょうし、
      大手金融機関についても、対象組織(の少なくとも経営層)とは合意していたのではないでしょうか。

      合意がないと、まあ普通に犯罪ですよね…。

  • by Anonymous Coward on 2013年12月10日 15時29分 (#2509379)

    >「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」
    人事部に確認されればバレるって判ってるのに対策してなかったのかな?
    いやもちろん人事部も偽装して用意してたんだよね?
    誰も来なくてガッカリみたいな

  • by Anonymous Coward on 2013年12月10日 16時12分 (#2509411)

    そこんところでどうにかできなかったのかな。
    何か実行しちゃったのかね。

    それとも最近のマルウェアはメーラーで眺めるだけで感染するとか?

  • by Anonymous Coward on 2013年12月10日 17時31分 (#2509464)

    こういうのは、2次元しか信用しない自宅警備員の方がセキュアだろう。

    # 初音ミクで偽装されると簡単に突破されるかも。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...