脱炭素とはなにか
ツイッターのジャック・ドーシーCEO
REUTERS/Anushree Fadnavis
- 7月15日、ツイッターは大規模なハッキングを受けた。ツイッター・ユーザーの中でも特に著名なバラク・オバマ、ジェフ・ベゾス、ビル・ゲイツなどのアカウントをハッカーが乗っ取り、ビットコイン詐欺のツイートを発信したのだ。
- 同社によると、この攻撃は「組織的なソーシャルエンジニアリング攻撃」によるもので、攻撃者が同社社員をだましてシステムへのアクセス権を得たことにより引き起こされたとしている。
- ソーシャルエンジニアリングとは、ハッカーがターゲットをうまく操り、企業の情報を入手する手口のこと。
- このような攻撃から身を守るには、企業の機密情報を聞き出そうとする人物の身元を確認すること、ウイルス対策ソフトやメールフィルターを導入すること、不審なリクエストがあれば会社に報告することなどが重要だ。
7月15日、ツイッター(Twitter)に最悪の事態が発生した。多数のアカウントを乗っ取るという大規模なハッキングを受けたのだ。その中には、アメリカの前大統領や世界で最も裕福な人物など、著名人のアカウントが含まれていた。
他にも主要なテック企業、経営幹部、政治家らのアカウントが乗っ取られ、指定のアドレスにビットコインを送れば、2倍にして返すと約束するツイートが発信された。ハッカーはツイッター・ユーザーから12万ドル以上をだまし取ったと考えられているが、被害の実態はよくわかっていない。
バラク・オバマ(Barack Obama)、ジェフ・ベゾス(Jeff Bezos)、イーロン・マスク(Elon Musk)、ウォーレン・バフェット(Warren Buffett)などが巻き込まれたこの攻撃は、どのようにして実行されたのか。
「社内のシステムやツールにアクセスできる一部の従業員を標的にした組織的なソーシャルエンジニアリング攻撃と思われる痕跡を発見した」と、ツイッターのサポートアカウントが7月15日の夜(現地時間)にツイートした。
ツイッターによると、内部システムにアクセスできるようになったハッカーは、著名人などのアカウントを乗っ取り、詐欺のツイートを発信した。これらのアカウントに対して、個人情報へのアクセスなど、さらなる被害があったのかどうか、同社は調査を進めていると述べた。
ソーシャルエンジニアリングとは何か
ソーシャルエンジニアリングとは、ハッカーがターゲットを操り、組織の情報を得るというハッキングテクニックだ。
アメリカ国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、攻撃者は「謙虚でまとも」な様子で、新入社員や修理担当者を装ったり、信頼を得るために証明書等を見せたりすることもある。彼らはターゲットとなる社員から企業のネットワークに関する情報を集め、さらに他の社員にアプローチする際にも、その情報を使って信頼できる人物を装うことがある。それが今回ツイッターでも発生したようだ。
欧州ネットワーク・情報セキュリティ機関(ENISA)によると、ハッカーがターゲットを操ろうとするときに、以下のようなテクニックが用いられる。
- 餌をまく:攻撃者は、ターゲットをだまして都合よく動かすために、魅力的な報酬のようなものを提供することがある。ENISAによると、攻撃者がターゲットに渡した「My private pics」とラベル付けされたUSBデバイスに、キーロガー(パソコンなどの操作の内容を記録するためのソフトウェア)が仕込まれていたという事例がある。
- 嘘をつく:情報システム担当者のふりをして、システムメンテナンスのためだと言って社員からパスワードの情報を聞き出す。
- 後をついていく:攻撃者が本来立ち入ることのできないエリアに、社員の後について入っていくこと。ENISAによると、攻撃者が社員を装い、重いものを抱えて立入禁止エリアのドアに向かい、社員にドアのロックを解除して中に入れてほしいと頼むという事例がある。
- 見返りを渡す:何者かになりすまし、社員からパスワードを得る引き換えに、お金を支払うという手口もある。
どのようにして組織を守るか
専門家はソーシャルエンジニアリングから組織を守るためのヒントを提示している。ENISAは、疑わしい人物から情報や立入禁止エリアへのアクセス許可を求められた場合に備えて、「身元確認、無視、報告」という標語を推奨している。また、不正なソフトウェアやハードウェアをブロックするセキュリティ対策を社員の使用するデバイスに導入することも勧めている。
CISAは、疑わしい要求や提案があった場合は、企業に直接連絡して確認することを推奨している。ただし、その要求に関連したウェブサイトに掲載されている連絡先は、偽物である可能性があるので自分で探すように、と注意を促している。
またCISAは、ウイルス対策ソフトやメールフィルターを導入すること、パスワードやカード番号などの機密情報の入力前には、そのサイトのURLが「https」で始まるか(通信が暗号化されているか)どうか、さらにURLの横に入力情報が暗号化されることを示す鍵マークがついているかどうかを確認することを推奨している。
そうでない場合は、個人情報や会社の機密情報を得ようとしている人物の身元が100%確かなものでない限り、決して情報を提供してはいけない、とCISAは述べている。このような攻撃の被害者になった思われるのであれば、すぐに会社に報告し、流出したと思われるパスワードを変更した方がいい。
(翻訳:仲田文子、編集:Toshihiko Inoue)
