Twitter大規模ハッキングから考えるソーシャルエンジニアリングの恐怖

Twitter大規模ハッキングから考えるソーシャルエンジニアリングの恐怖

Krzysztof Kamil via Pixabay

◆Twitterで大規模ハッキング!ビル・ゲイツやオバマ元大統領も被害

 Twitter で、アメリカ時間の7月15日夜に大規模攻撃があった。Twitter でのトラブルはよく起きているのだが、今回大きなニュースになったのは、被害を受けたのが世界的な有名人や大企業だったからだ。

 有名人では、元 Microsoft 会長のビル・ゲイツ氏、Amazon CEO のジェフ・ベゾス氏、Tesla CEO のイーロン・マスク氏。元アメリカ大統領のバラク・オバマ氏、民主党大統領候補のジョー・バイデン氏、ニューヨーク市長のマイク・ブルームバーグ氏など。企業では、Apple、Uber、モバイル決済サービスの Cash App、仮想通貨取引所の Coinbase、決済システムの Ripple などだ(参照:9to5Mac、AppleTrack)。

 これらのアカウントは、発言が乗っ取られたとなると、経済や政治に大きな影響が出る可能性がある。株価の操作もできるし、国家間の火種になることも考えられる。実際に投稿された内容は、そうした世界に影響を与えるものではなく、詐欺でお金を稼ぐものだった。「特定のアドレスにビットコインを送ってくれたら、倍にして返しますよ」といった内容だった。

 見知らぬ人が、そうしたことを言いながら近づいてきたら、騙される人は少ないだろう(とはいえ、騙される人もいる)。しかし、有名人がこういったことを言い出せば、信じてしまう人の比率はぐっと増える。仮に、普段からプレゼント企画としてお金を配布している有名人が、同じ投稿をしたとしよう。多くの人が、我先にと送金してしまうのではないか。

 この事件の犯人たち3人は、7月31日に逮捕された(ITmedia NEWS)。主犯はフロリダ州タンパ在住の17歳の男性。残り2人も19歳、22歳と若かった。

 今回の Twitter の事件がなぜ起き、どういったことがおこなわれたのか、Twitter の公式ブログから見ていこう。

◆ Twitter社の公式報告

 大規模ハッキングについて、Twitterは7月18日に公式ブログで報告をおこなっている(参照:Twitter)。同ページは、7月30日にも更新されている。

 攻撃者は130アカウントを標的にして、45アカウントからツイートして、36アカウントのDMの受信トレイにアクセスして、7アカウントの Twitterデータをダウンロードしたそうだ。

 攻撃は、電話によるスピアフィッシング攻撃(phone spear phishing attack)によって行われたと書いてある。フィッシング(phishing)詐欺という言葉は聞いたことがあるだろう。インターネット上の詐欺の一つで、成りすましなどにより、クレジットカード番号やパスワードなどの個人情報を、ターゲット自身に入力させるものだ。

 スピアフィッシングは、その中でも、特定の個人や団体を標的としたものだ。不特定多数を狙うのではないため、詳細に情報を集めれば、高い精度で成功する(参照:Weblio辞書)。

 最初に標的にされた従業員たちは、アカウント管理ツールを使用する権限を持っていなかったそうだ。しかし攻撃者はこの攻撃で、内部システムへのアクセスと、社内プロセスの情報を得た。その知識を利用して、さらなる従業員への攻撃をおこなった。

 また今回の件は、既に訴状を読むことができる。そこには、逮捕された人たちのやり取りも載っており、知ることができる(参照:UNITED STATES DISTRICT COURT)。コミュニケーションには、 Discord も使われていた(訴状の中盤から3/4ぐらいがそのやり取り)。Discord は、元々ゲーマー向けのコミュニケーションツールだが、ゲームに限らず、コミュニティでやり取りするのが簡単だ。今回のように、犯罪の打ち合わせをカジュアルにおこなうのにも便利なのだろうと感想を持った。

◆人が標的になるソーシャルエンジニアリングの恐ろしさ

 企業などのネットワークに侵入する攻撃は、コンピューターシステムの脆弱性を利用するものだけではない。人間という脆弱性を利用するものがある。後者はソーシャルエンジニアリングと呼ばれており、古典的な詐欺やスパイ活動の延長だと言える。

 総務省の「国民のための情報セキュリティサイト」の「ソーシャルエンジニアリングの対策」のページを見てみよう。

 まず筆頭に挙げられているのが「電話でパスワードを聞き出す」だ。利用者や管理者の振りをして、重要な情報を聞き出すというのは、多くの場合有効な方法だ。

 こうしたソーシャルエンジニアリングに近いことは、普通の人もよくおこなっている。営業電話で、目的の部署や人の連絡先を聞き出す手法とよく似ている。人間は、割りとあっさりと情報を伝えてしまったりするものだ。

 次に挙げられているのが「肩越しにキー入力を見る(ショルダハッキング)」だ。パスワードやクレジットカード番号を入力する様子を、肩越しに見る攻撃手法だ。ATMのパスワード入力を覗き見る行為の、IT版だ。

 「ごみ箱を漁る(トラッシング)」のも、非常に古典的な方法だ。ゴミは情報の宝庫だ。社内名簿が手に入れば、その社員の振りをして攻撃できる。また、社内の組織図が手に入れば、部署間の関係を想像して、それらしい会話を組み立てることができる。配備されている機器から、攻撃の計画を立てることも可能だ。強引なところでは、シュレッダーの紙から情報を復元することも、根気があれば可能だろう。

 上記のページには載っていないが、さらに大胆な手法としては「構内侵入」もある。やり方はいろいろある。偽造したり、密かに入手したりしたIDカードで侵入する。他人のあとに付いて建物に入る。他の用で来たついでに違う部署に行く。清掃業者や回収業者の振りをする。

 入り口は厳しく管理していても、内部は杜撰な組織は多い。一度中に入ってしまえば、いくらでも建物内を移動できたりする。

◆「人間という脆弱性」を防ぐのは難しい

 IDやパスワードを厳格に管理していても、その運用は人間がおこなう。そして、組織には多くの場合、イレギュラーや緊急時の、特別なルートがあったりする。

 会社によっては、全業務を自社でおこなうのではなく、社外に仕事の一部を出していたりする。世界中に拠点があり、連絡を取りあいながら仕事をしていることもある。

 攻撃者は、情報システムだけでなく、その利用者を狙う。自分がスパイになったつもりで、組織をどうやったら操れるか考えてみよう。「買収する」「ハニートラップを仕掛ける」といった、大昔からある手法で突破できるかもしれない。セキュリティの甘いところに潜り込み、内部からじっくりと攻めるという方法を使えるかもしれない。

 セキュリティは、防御側はあらゆる対策を考えなければならないが、攻撃側は一箇所の穴を見つければそれで済む。人間は、頻繁に入れ替わるし、替わらなくても刻々と状況が変化する。

 外部からの攻撃に対策を取るのは当然として、起きた時に素早く動ける体制を作るのも大切だ。

 大手のIT企業が攻撃を受けた際、どれだけ迅速に対応して報告を出してくるのか、IT業界の多くの人は注目している。

<文/柳井政和>

【柳井政和】

やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。

関連記事(外部サイト)