ソーシャルエンジニアリングを用いた標的型攻撃の事例紹介と防ぎかた

個人を狙う「標的型攻撃」はサイバー攻撃の中でもポピュラーなものとなっています。

標的型攻撃というと、不審メールを送りつけ、マルウェア感染させる標的型メール攻撃が有名ですが、もっと厄介な、人間の心理を突く手法を用いた標的型攻撃もあります。

今回は厄介な標的型攻撃のうち、ソーシャルエンジニアリング手法を用いた標的型攻撃について事例を交えつつ防ぎかたについて解説して行きます。

標的型攻撃とは

IPA情報セキュリティ10大脅威 2021では標的型攻撃は組織編2位となっています。解説を引用します。

<攻撃者>

諜報員、産業スパイ

組織的犯行グループ 

犯罪者

<被害者>

組織(官公庁、民間団体、企業、研究機 関、教育機関等)

<脅威と影響>

特定の組織の機密情報等の窃取を目的とし、PC にウイルスを感染させることで、組織内部へ潜入する標的型攻撃が確認されている。従業員が悪意あるメールの添付ファイルを開いたり、悪意あるウェブサイトにアクセスしたりすると、PC がウイルスに感染する。攻撃者はウイルスに感染したPCを起点に組織内部のシステムを探索し、侵害範囲を拡大しながら機密情報等の窃取を行う。

攻撃者としては諜報員、産業スパイ、犯行グループとある通り、国家レベルの真のプロ集団を想定すべきです。生半可なスキルを持つ者ではなく、防御は困難を極めると考えるべきでしょう。

 この攻撃者が明確な目的を設定した上で、あの手この手で個人(標的)を探し出し、狙いを定めた個人に接触をはかり、ウィルス感染させるなどし、目的を達しようとします。これが標的型攻撃です。

 目的としては国家・企業の特に重要な機密情報を盗み出す、ランサムウェアを仕掛け金銭を要求するなどです。

 なお英語では標的型攻撃を Targeted threat / Targeted attack / APT(Advanced Persistent Threat) と表します。

ソーシャルエンジニアリングを用いた標的型攻撃とは

それではソーシャルエンジニアリングを用いた標的型攻撃について解説して行きましょう。まずは総務省サイトの引用です。

総務省 ソーシャルエンジニアリングの対策

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html

(ソーシャルエンジニアリングとは、)重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

「情報通信技術を使用せずに盗み出す方法」とありますが、標的とした個人とコミュニケーションを取るのに電話やメールを使ったりもします。大事なことは「人間の心理的な隙や行動のミスにつけ込む」という部分です。

脅しや、個人的な信頼関係を構築することにより言うことを聞かせることがソーシャルエンジニアリングの手法です。

では事例紹介していきます。

事例1)三菱重工の場合 (2020年)

【三菱重工】当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件

https://www.mhi.com/jp/notice/notice_200807.html

事件のあらましは、

  1. 在宅勤務を行っていた社員
  2. 社用PCを用い、自宅で社内ネットワークを経由せずに外部ネットワークへ接続、SNSを利用
  3. SNSで第三者からウイルスを含んだファイルをダウンロードし、感染
  4. 当該社員が出社、ウイルス感染した当該社用PCを社内ネットワークに接続
  5. 感染拡大

というものです。

SNSを利用しマルウェア感染とありますが具体的な攻撃方法は不明です。この社員がソーシャルエンジニアリングを仕掛けられたのかわかりませんが、SNSを利用した攻撃であることは間違いないわけです。

Facebookをお使いの方であれば、知らない人や中には友達から不審なメッセージがメッセンジャー経由で届いた経験がある方もいらっしゃるでしょう。本当の友達でもハッキングされ、アカウントを乗っ取られ不審なメッセージを送りつけてくるパターンがあるので注意が必要です。

IPAも注意喚起を出しています。

【IPA】Facebookのメッセンジャーに届く動画に注意!

https://www.ipa.go.jp/security/anshin/mgdayori20200819.html

Facebookでは本名、所属会社を書くので攻撃者としては標的を見つけやすくなります。標的を見つけ出したらいきなりメッセンジャーでメッセージを送りつけるような雑な攻撃もあるでしょうが、もっと手の込んだ手法も当然あるわけです。例えば下記JETROの注意喚起の「6. 国際ロマンス型詐欺」、「8. ソーシャルネットワーキング(SNS)利用型詐欺」が参考になるでしょう。

国際的詐欺事件について(注意喚起)

https://www.jetro.go.jp/contact/faq/419.html#t8

また例えば動画ファイルにマルウェアを仕込む手法が以前ありました。一見マルウェア感染とは無関係と思ってしまうものでもマルウェア感染する可能性があるので注意を要します。

Facebookが未成年者を狙った性犯罪者を捕まえるためにFBIのハッキングに協力していた

https://gigazine.net/news/20200611-facebook-helped-fbi-hack-criminal/

事例2)テスラ社の場合

[piyolog] 従業員へ賄賂を渡し脅迫目的で不正アクセスを企んだ米国の事件についてまとめてみた

https://piyolog.hatenadiary.jp/entry/2020/08/31/120000

 

ロシアの犯罪者グループがテスラ社社員を標的としソーシャルエンジニアリングでいうことを聞かせようとした事例となります。

 

  • 事件の発端はテスラの従業員Aが2016年からの共通の知人を通じ、男(ロシア人攻撃者)のWhatsAppの連絡先を教えてもらったことでした。
  • 男はロシアから米国へ渡航することを伝え、カリフォルニアからネバダまで車で駆けつけることも厭わないとして、従業員Aと一緒に旅先現地を回りたいと連絡。
  • 実際、男と従業員A、他2名の計4人で2日ほどの小旅行に行っています。
  • 男は写真に一緒に写るのを嫌がっており、タホで撮影する際もポージングに抵抗があったという。(男はその後渋々撮影に合意している。)
  • 旅行に要した費用は全て男が支払っていました。
  • 旅行後に男から従業員Aへ二人だけで会いたいと連絡。リノのレストランで食事をとり、その後バーに移動しラストオーダーまで飲み暮れていた。その後男から「ビジネス」について話し合いが持ちかけられた。

 

「ビジネス」というのがテスラ社内にマルウェアを仕掛けろという内容です。

 

男は従業員Aと共通の知人を介し出会い、旅行を楽しみ、ラストオーダーまで飲酒を楽しむほどの信頼関係を得ることに成功していますね。費用も男もちなので太っ腹です。

自分が攻撃者になることを想像してみてください。ターゲットにした見ず知らずの人と旅行をし、飲食を楽しむまで持っていくことができますか?よほどうまくやらないと「何こいつ?」と思われそうですよね。

 

従業員Aに示した「ビジネス」の報酬としては50万ドル(5,000万円超)です。金銭的な魅力も半端ないものです。実際、男は過去に同様のことをやったがバレていないと、余罪についても言及しています。

 

日本でも同様にソフトバンク社員がロシアのスパイにより5Gの情報を渡していた事例が昨年2020年に発覚しました。

 

大手通信会社元社員逮捕。ソ連から続くロシアの技術情報窃取とは

https://news.yahoo.co.jp/byline/dragoner/20200126-00160354/

事例 3) ディープフェイク

次に紹介するのは未来の攻撃手法に思えますが、既に使われている手法です。

 

ディープフェイク(Deep Fake)という用語を聞いたことはありますか?

AIの技術「ディープラーニング(深層学習)」と「フェイク(偽物)」を組み合わせた造語で、人工知能の顔認証技術や本人そっくりの音声作成を実現し、偽動画などを作成、悪用することです。

 

サイバー攻撃から外れますが、実際に事件で用いられています。

 

[産経新聞] AIで偽アダルト動画作成「ディープフェイク職人」を初摘発 (2020/10)

https://www.sankei.com/article/20201002-2VKZEKRJZ5ITHFPRMMIOQ4EMNY/

 

[BBC] 娘のライバル蹴落とすため……「ディープフェイク」でわいせつ動画作成の母親逮捕 (2021/03)

https://www.bbc.com/japanese/56411511

 

どちらも動画の顔の部分をすげ替え、本人が実際に動画に出ているように見せるものです。

ディープフェイクで作った動画を証拠として示されると、やっていないことを証明することは困難という、悪魔の証明になってしまい、非常に恐ろしいです。

 

注意すべきは、特別なスキルや潤沢な資金を持った組織ではなく、個人が犯人というところです。ディープフェイクは既に誰でも作成できる環境にあります。

また、ディープフェイクの応用として真っ当な使い方の提案もあります。

 

[WIRED] ディープフェイク技術を活用すれば、映画の俳優が多言語で“話せる”ようになる (2021/05)

https://wired.jp/2021/05/28/ai-makes-de-niro-perform-lines-flawless-german/

 

映画の吹き替えをすると、原語で話す俳優のくちびるの動きと吹き替え後のあるべきくちびるの動きがずれてしまいますが、これをディープフェイクでくちびるを書き換えてしまおうというものです。

 

ディープフェイクを使ってサイバー攻撃を考えると、電話やオンライン会議のような顔と音声を使ったアプリケーションを如何に使うかが鍵になりそうですね。

実際に上司そっくりの声で電話がかかってきてサイバー攻撃にあった事例を紹介します。なんと2019年のものです。

 

[ZDNet] CEOになりすましたディープフェイクの音声で約2600万円の詐欺被害か (2019/09)

https://japan.zdnet.com/article/35142255/

 

英国を拠点とするエネルギー企業のCEOが、上司であるドイツの親会社のCEOと電話で話していると思っていたところ、ハンガリーのサプライヤーに22万ユーロ(約2600万円)を至急送金するよう頼まれたという。

 ところが実際は、その指示はAIによる音声技術を利用してドイツにいるCEOになりすました詐欺師からのものだった。

 

ディープフェイクで音声を合成し、詐欺電話に使用した事例となります。BEC (Business Email Compromise:ビジネスメール詐欺)の電話版ですね。

音声の元データは例えばyoutubeで本人が講演している動画がアップされていればそれを使い入手できます。

ボイスチェンジャーを使い、リアルタイムに音声にディープフェイク加工を施せます。

 

攻撃者としては電話を使い、緊急事態であることを告げ、振り込み指示以外にもID/パスワードを教えてもらう、リセットさせることが可能となり、システムに侵入するためにIP制限なども解除させることが可能となりえます。

防御方法

では防御方法はどうすればいいのでしょうか?ガイドラインを紹介して行きます。

 

[総務省] サイバー攻撃(標的型攻撃)対策 防御モデルの解説

https://www.soumu.go.jp/main_content/000495298.pdf

 

標的型攻撃が侵入し、マルウェアが仕掛けられた後の対策について言及しています。標的型攻撃対策としてはイマイチな印象ですが、侵入後の対策の観点で良い内容です。

 

[JPCERT/CC] ビジネスメール詐欺の実態調査報告書

https://www.jpcert.or.jp/research/20200325_BEC-survey.pdf

 

BECは標的型攻撃に分類されます。BEC対策として良いガイドラインとなっています。

 

[LAC] 標的型攻撃 対策指南書 第1版 2015

https://www.lac.co.jp/library/pdf/anti-apt_guidebook_ver1.pdf

 

とても良いガイドラインです。電話やSNSを通じたソーシャルエンジニアリングの観点は薄めです。

 

最後に米CISA(サイバーセキュリティー・インフラセキュリティー庁)のガイドラインを和訳したものを紹介します。最低限やっておかなければならない対策が簡潔にまとめられています。

https://us-cert.cisa.gov/ncas/tips/ST04-014

 

Avoiding Social Engineering and Phishing Attacks

ソーシャルエンジニアリング、フィッシング攻撃対策

 

ソーシャルエンジニアリング攻撃とは?

ソーシャルエンジニアリング攻撃では、攻撃者は人と人との関わり合い(ソーシャルスキル)を利用して、組織やそのコンピュータシステムに関する情報を入手したり、侵害したりします。攻撃者は、新入社員、修理担当者、研究者などを名乗り、その身元を裏付ける証明書を提示するなど、真面目できちんとした人物に見えるかもしれません。そのような人物(実は攻撃者)が質問をすることで、組織のネットワークに侵入するのに十分な情報を得ることができるかもしれません。攻撃者は、ある情報源から十分な情報を収集できない場合、同じ組織内の別の情報源と接触し、最初の情報源となる人の信用を頼りに自分の信頼性を高めることができます。

 

(注意)

機密情報は、その人が本当に本人であり、その人が情報にアクセスする必要があると確信できない限り、他人に教えてはいけません。

 

フィッシング攻撃とは?

フィッシングとは、ソーシャルエンジニアリングの一種です。フィッシングとは、電子メールや悪意のあるウェブサイトを利用して、信頼できる組織を装い、個人情報を聞き出そうとする攻撃のことです。

例えば攻撃者は、クレジットカード会社や金融機関を装って、アカウントに問題があるからと、アカウント情報を要求するようなメールを送信したりします。ユーザーが要求された情報を返信すると、攻撃者はその情報を使ってアカウントにアクセスします。フィッシングは、慈善団体など、他の組織を装って行われることもあります。

攻撃者は、以下のような時事問題や特定の時期を利用することがよくあります。

* 自然災害(例:ハリケーン・カトリーナ、インドネシアの津波)

* 疫病や健康不安(例:H1N1、COVID-19)

* 経済的懸念(例:IRS詐欺)

* 選挙などの主な政治日程

* 祝日

 

ヴィッシング(vishing, voice phishing)攻撃とは?

ヴィッシングとは、音声通話を利用したソーシャルエンジニアリングの手法です。この手法は、被害者に特定の番号に電話して機密情報を漏らすように仕向ける他のソーシャルエンジニアリングと組み合わせることができます。(※訳註:ソーシャルエンジニアリングはともかく標的とコミュニケーションをとることが大切です。フィッシングメールなどに電話番号を載せ、電話をかけさせることなどの組み合わせをここでは言っています。)

Voice over Internet Protocol(VoIP)ソリューションや放送サービスを利用することで、音声通信を利用した高度なヴィッシング攻撃が可能です。VoIPは発信者番号(ID)の詐称を容易に可能にするため、電話サービス、特に固定電話サービスのセキュリティに対する一般の人々の誤った信頼を利用することができる。固定電話の通信は、回線に物理的にアクセスしなければ傍受することはできません。しかし、この特性は、悪意のあるアクターと直接コミュニケーションをとる際には有益ではありません。(※訳註:無線だと盗聴される危険性があるが固定電話だと有線であるため物理的な制限が加わり盗聴がしにくいですが、そもそも攻撃者と直接通話する場面では盗聴の必要がないということを言っています。)

 

スミッシング(smishing, SMS phishing)とは

スミッシングとはSMS(テキスト)メッセージを悪用したソーシャルエンジニアリングの一種です。テキストメッセージには、ウェブページ、電子メールアドレス、電話番号などへのリンクが含まれており、クリックすると自動的にブラウザウィンドウや電子メールメッセージが開いたり、電話番号にダイヤルしたりします。

このように、電子メール、音声、テキストメッセージ、Webブラウザの機能が統合されているため、ユーザーが悪意ある攻撃に引っかかってしまう可能性が高くなります。 

 

フィッシング攻撃の一般的な兆候は何ですか?

* 疑わしい送信者のアドレス:送信者のアドレスは、合法的な企業を模している場合があります。サイバー犯罪者は、いくつかの文字を変更したり省略したりして、評判の良い企業のものに酷似した電子メールアドレスを使用することがよくあります。

 

* 一般的な挨拶や署名:「Dear Valued Customer」や「Sir/Ma’am」などの一般的な挨拶文や、署名欄に連絡先が記載されていない場合は、フィッシングメールであることを示しています。信頼のおける組織であれば、通常、名前で挨拶し、連絡先情報を提供します。(※訳註:アメリカのメールマナーの話しです。日本でのメールマナーで違和感がないかチェックすれば良いでしょう)

 

* 偽装されたハイパーリンクやウェブサイト:メール本文中のリンクにカーソルを合わせたときに表示されるテキストとリンクが一致しない場合、そのリンクは偽装されている可能性があります。悪質なウェブサイトは、正規のサイトと同じように見えても、URLにはスペルの違いや異なるドメイン(.comと.netなど)が使用されている場合があります。また、サイバー犯罪者は、URL短縮サービスを利用して、リンク先の真の目的地を隠すことがあります。

 

* スペルとレイアウト:文法や文章構造の不備、スペルミス、フォーマットの不統一なども、フィッシング詐欺の可能性を示す指標となります。信頼できる金融機関では、顧客からの手紙を作成、確認、校正する専門の担当者がいます。

 

* 疑わしい添付ファイル:添付ファイルをダウンロードして開くように要求する不審なメールは、マルウェアの一般的な配信方法です。サイバー犯罪者は、緊急性や重要性を装い、ユーザーを説得して添付ファイルを確認せずにダウンロードさせたり、開かせたりすることがあります。

 

被害者にならないためには?

* 従業員やその他の社内情報を尋ねる個人からの不審な電話、訪問、電子メールを疑ってください。見知らぬ人物が正当な組織のものであると主張している場合は、その会社に直接身元を確認するようにしてください。

 

* 個人情報や、組織の構造やネットワークを含む組織に関する情報は、その情報を持っている人の権限が確かでない限り、提供しないでください。

 

* 個人情報や財務情報を電子メールで開示したり、電子メールでの情報提供の勧誘に応じたりしないでください。これには、電子メールで送られてきたリンクに従うことも含まれます。

 

* ウェブサイトのセキュリティを確認する前に、そのサイト上で機密情報を送信しないでください。

    * WebサイトのURL(Uniform Resource Locator)に注意する。URLは、”http “ではなく、安全性を示す “https “で始まるか確認してください。(※訳註:HTTPSだからと言って安全だとは考えないようにしてください。)

    * 情報が暗号化されていることを示す、南京錠のアイコンを探してください。

 

* 電子メールの要求が正当なものかどうかわからない場合は、その会社に直接連絡して確認してください。その際、その電子メールや、リンク先のウェブサイトに掲載されている連絡先は使用せず、過去の明細書に記載されている連絡先を確認してください。また、Anti-Phishing Working Groupなどのグループから、既知のフィッシング攻撃に関する情報がオンラインで提供されています。(※訳註:日本ではフィッシング対策協議会があります。https://www.antiphishing.jp)

 

* ウィルス対策ソフト、ファイアウォール、メールフィルターなどを導入・維持することで、これらのトラフィックの一部を削減することができます。

* メールクライアントやWebブラウザが提供するフィッシング対策機能を利用する。

* 多要素認証(MFA)を実施する。

 

自分が被害者だと思ったらどうするのか?

* 組織の機密情報を漏らした可能性がある場合は、ネットワーク管理者など、組織内の適切な人に報告してください。ネットワーク管理者は、不審な活動や異常な活動を警戒することができます。

 

* 金融機関の口座が侵害された可能性がある場合は、直ちに金融機関に連絡し、侵害された可能性のある口座を閉鎖してください。自分の口座に不明な請求がされていないか確認してください。

 

* 漏洩した可能性のあるパスワードは、直ちに変更してください。同じパスワードを複数のリソースで使用していた場合は、アカウントごとにパスワードを変更し、今後そのパスワードを使用しないようにしてください。

 

* ID 盗難の他の兆候に注意する。

 

* 警察への通報を検討し、連邦取引委員会に報告を行う。(※訳註:日本の場合は https://www.npa.go.jp/cyber/soudan.htmlhttps://www.jpcert.or.jp/form/ をチェックしておきましょう)

おわりに

ソーシャルエンジニアリング手法を用いた標的型攻撃の事例を紹介しました。

標的型攻撃は非常に高いスキルを持った攻撃者が金と時間とだます知識を惜しまず投入してきます。まるでスパイ映画の世界のようですが、現実に起こっている事例です。攻撃者はまずは人間の信頼関係を得ようとします。

この手の攻撃は防ぐことが至難なので、事例を紹介しつつ教育を行うのが現状一番良いでしょう。防御方法がまとめられたガイドラインも紹介してあるので参考にしてください。