BP：以前から情報セキュリティの重要性が言われ、多くの企業が対策に力を入れていますが、それでも情報漏えい事案はなくなりません。我々の取り組みは、何が欠けているのでしょう。

稲村 悠氏（以下、稲村氏）：前提として知っておきたいのは、攻撃者はそれを生業とした組織である点です。彼らは24時間365日、相手をどう騙すか、真剣に考えているのです。そんな連中を相手に付け焼刃で対応できるわけがありません。

一例を挙げましょう。ダークウェブを見れば分かる通り、組織は常に有能なハッカーを高給でリクルーティングしています。その一方で、高度なスキルを防御に活かす、いわゆるホワイトハッカーも存在します。私が主宰する日本カウンターインテリジェンス協会のメンバーの一人です。ある企業のペネトレーションテスト（侵入テスト）を請け負ったことがあります。

疑似的なサイバー攻撃を実施し、セキュリティの弱点を発見するテストを請け負って3カ月ほど過ぎた頃、担当の方にこう聞かれました。

　「それでいつ侵入するのですか？」
　彼の答えはこうです。
　「3カ月前から侵入していますよ」

リスク感度が高い大企業とはいえ、実情はこの程度なのです。またセキュリティリスクと聞くとサイバー空間を連想しがちですが、企業はフィジカル空間のリスクにも目を向ける必要があると考えています。

BP：それはどういう意味ですか？

稲村氏：イメージしやすいのは、社屋に侵入し、エンドポイントにUSBメモリを差したり、偽のアクセスポイントを配置する攻撃です。IC社員証による入退室管理で物理的侵入は防げると考える方も多いですが、そうではありません。手口の一例を紹介しましょう。

昼休みに社員証を下げて外出することは、カードで入退室管理を行っていることを示すサインです。退社時に社員証は首に下げられていませんが、それは鞄にしまったからと容易に想像できます。次に攻撃者は、混雑する電車の中でターゲットに近づき、手のひらに収まるサイズのICカード複製機を近づけ軽く触れます。実はそれだけで一定のICカードについては、簡単に複製できてしまうのです。あとは翌朝、先回りして会社に侵入するだけです。複製機は通販サイトで5,000円程度で売られているもので十分です。

ちなみにUSBメモリによる手法はかなり一般的で、数年前にも米国の車メーカーの従業員に「PCにメモリを差してくれれば100万ドル支払う」と持ち掛けられるという事案が発生しています。従業員の通報によりことなきを得たのですが、リテラシーが高かったおかげで防げたものの当事者のリテラシーに依存したセキュリティは危険です。報酬を引き上げたり、ターゲットを清掃員などのリテラシーが低いスタッフに切り替えていれば工作が成功していた可能性は十分にあります。

知っておきたいのは、攻撃者はサイバーかフィジカルかを問わず、もっとも効果的な方法を選択している点です。実は私も当初、サイバー空間に関してはその専門家に任せればいいと考えていました。しかし調査を進める中で見えてきたのは、双方の攻撃を前捌きする存在でした。ソーシャルエンジニアリングの被害が絶えないこともそれを裏付けています。

BP：ソーシャルエンジニアリングとはどのような攻撃ですか？

稲村氏：これは技術的弱点を突くのではなく、人間の心理の隙や行動の過ちに付け入る攻撃の総称です。社会的な関係を悪用することからこう呼ばれています。古くからの詐欺師の手口と大きな違いはないのですが、いまだに有効です。一例を挙げましょう。

在宅勤務や外回り中の営業担当が、こんな電話を受けた状況を想像してください。「お疲れさまです。システム部の稲村です。〇〇さんの端末にパッチを当てたいのですが、上手くいきません。状況を確認したいのでID・パスワードを教えてくれませんか？」。電話の受け手からすればシステム部の稲村って誰だ、という話なのですが、わざわざ会社に確認する人はそう多くはないはずです。つまり電話一本で簡単にID・パスワードが窃取できてしまうのです。

組織の場合、ダークウェブ等で入手した名簿でターゲットのあたりを付けるわけですが、外回りや在宅勤務中の社員の連絡先を知ることもそう難しくありません。ターゲット企業に「営業部の・・何さんでしたっけ。山内さんじゃなくて・・・」などととぼけてみると案外相手から「山下ですか？」などと教えてくれる場合がありますので、そこで電話を取り次いでもらえばいいだけです。そもそも、前段階でターゲット企業の在籍者の名前を調べることは極めて容易です。

こちらの記事の全文はBP Navigator to Go「ニッポンの元気人」からご覧ください！