新しい仕事に就いたとき、友だちや同僚にソーシャルメディアで大々的に知らせたくなる人は多いようです。うれしさのあまり、自分の最近の快挙を伝えようとして会社の新しい ID バッジ(ネームタグ)を写真に撮って投稿することまで流行しているようです。これをシマンテックは「ID バッジ自慢」と呼んでいます。自慢したい気持ちに悪意はないのですが、従業員証をオンラインで投稿する行為は、会社にとってセキュリティ上の思わぬリスクを引き起こす恐れがあります。
PC 時代から技術が進歩してインターネット対応のデバイスが爆発的に増えましたが、攻撃者の手口もそれに合わせて広がっています。ソーシャルメディアは、攻撃者から見れば尽きることのない情報源であり、被害者の個人情報、写真、所在などをいくらでも利用できるようになっています。ソーシャルメディアに投稿するユーザーはたいてい、それを差し障りのない情報だと考えているものです。しかし、ひとたびサイバー犯罪者の手に渡れば、ID バッジで読み取れる情報から、重要な業務情報や個人情報に対する不正アクセスが起きることもあります。あるいは、建物への物理的な侵入を許してしまうかもしれません。
最近のハッカーは手口が巧妙になってきており、建物やネットワークへの侵入を試みる前に偵察行動ができる特殊なデジタルツールを使っています。そうしたツールを使えば、Twitter や Facebook、LinkedIn に何気なく投稿された大量の情報をくまなく調べ、攻撃プランを組み立てることなど造作もありません。セキュリティ研究者が、新しい手法を阻止し新しいプラットフォームを保護しようとどれほど努力しても、攻撃者はあらゆるシステムにおける最大の弱点を狙うことができます。人間の行動です。極論すれば、アクセスを管理してくれると信じてきた同じ技術が、ソーシャルメディアにたった 1 回でも投稿があれば逆に悪用されかねないということです。
デジタルから物理上のリスクまで
Symantec Cyber Security Services チームは最近、ソーシャルメディアの各種プラットフォームに ID バッジの写真を高解像度で投稿する行為が流行していることを確認しています。これが知らず知らずのうちに、サイバー犯罪者による標的型攻撃の糸口になっています。
そうした例のひとつを紹介します。ある人―ここでは「リチャード」と呼んでおきましょう―が先日、有名な病院に就職しました。リチャードは、この仕事に就いたのがうれしくて、新しい病院の ID バッジを写真に撮り、お気に入りのソーシャルメディアに投稿しました。腕の立つサイバー犯罪者が、以前からこの病院にアクセスしたいと考えていたとしたら、リチャードと同じくらい喜んでいるかもしれません。リチャードが投稿した ID バッジは、攻撃者がアクセスする必要のあるオープンソースインテリジェンス(OSINT)のカギになる可能性があるからです。
従業員 ID バッジの写真が、攻撃者にとって情報の宝庫になることがあります。この病院の ID バッジには、リチャードのフルネーム、出身校(学位まで)、病院名、分院名、勤務している部局が載っていました。しかもリチャードは、写真のコメントに嬉々として初出勤日まで書いており、バッジには有効期限も記載されています。この情報があれば、攻撃者はこの病院が 4 年ごとに ID バッジを交換していることを突き止め、その間の物理的なアクセスが可能になるかもしれません。リチャードは写真の撮影にスマートフォンを使いましたが、高解像度だったので写真にはバーコードまでしっかり写っていました。攻撃者は、ID バッジが服に直接クリップ止めされていることにも気付く可能性があります。だとすると、リチャードは病院を出入りするたびにハンドヘルドスキャナを使ってバッジをスキャンすると考えられます。しかも、投稿された写真は高解像度なので、バッジのコピーさえ簡単に作れてしまうかもしれないのです。
盗み出された情報がサイバー犯罪に悪用される恐れ
攻撃者は、物理的にこの病院を不正に出入りできるようになるだけではありません。リチャード本人、あるいは彼の勤務する部局や病院全体を狙って標的型のサイバー攻撃を実行するために必要な情報が、すべて攻撃者の手に渡っている恐れもあります。そうすると、攻撃者は正規のメールらしく見えて効果の高いスピア型フィッシングメールを作成することができます。リチャードの名前、部局、従業員 ID 番号まで載っているからです。これに「必修:新入社員研修」という件名を付けるだけでも、ワナのエサとしては完璧です。解像度の高いバッジの写真を使えば、平均的なハッカーなら 15 分もあればバッジを解析し、バーコードまで解読できてしまいます。
プロアクティブなセキュリティ対策
ソーシャルメディアには、攻撃者に豊富な情報を提供し続けるという面もありますが、肯定的に考えれば、「人的な要因」こそ是正が最も容易だと捉えることもできます。シマンテックの Cyber Security Simulation チームは、お客様に悪影響を及ぼしそうな脅威をすべて常に研究しています。多くの場合、リスクのきっかけを作ってしまうのは、企業のセキュリティ担当者や従業員に対する訓練不足です。たとえばこの病院のセキュリティスタッフが、ID バッジに記載されている情報量の多さを認識していれば、不正に利用されないように適切な対策をとっていたかもしれません。そうしたプロアクティブな態勢があれば、ID バッジが複製されるようなリスクは抑えられます。さらに言うと、写真さえ使えば ID バッジを簡単に複製できることまで、セキュリティスタッフは理解しているべきでした。そうすれば、もっとセキュアな社員証システムを採用するなり、ソーシャルメディアに重要な情報を投稿することについてポリシーを設けるなり、病院に提言できたかもしれないからです。
従業員のセキュリティ教育水準を保つために企業で実施できるベストプラクティスを、いくつか紹介しておきます。
- 「生きた」ポリシーを策定する。業務に関係する画像や情報をオンラインに投稿する行為について、従業員向けのポリシーを策定します。「ID バッジを写真に撮ることは禁止する」など、許容される内容と禁止される内容をわかりやすく例示します。従業員の全員がこのポリシーを理解し、それに従うと合意したことを確認してください。新しいソーシャルメディアツールが登場するなど、技術的な変化があった場合には、必要に応じてポリシーを更新することも必要です。
- セキュリティを、新入社員教育に組み入れる。新入社員に対する教育には、セキュリティポリシーについての研修を必ず含め、最初から混乱を避けるようにします。従業員に対して、以下のような簡単なヒントを示してください。
- 会社の ID バッジを見せた状態で写真に写らないこと。
- 社外では ID バッジを見せないこと。
- ID バッジは厳重に管理し、紛失または盗難の際には速やかに連絡すること。
- 良好な環境の補強に努める。常に従業員とのコミュニケーションを保ってその言動を補強し、最近の攻撃の傾向について明らかにしておきます。
企業におけるサイバー意識の向上を Symantec Cyber Security Services がお手伝い
従業員が攻撃を防ぎ検出できる態勢を強化するという観点から見ると、企業の中でサイバー意識の水準を引き上げることが効果的です。セキュリティ研修とシミュレーション訓練を積極的に取り込めば、各自の役職とアクセスレベルに応じて、サイバー攻撃の最新の手口を理解しやすくなります。IT の専門スタッフでも技術系以外の従業員でも、例外はありません。
Symantec Security Awareness Serviceでは、強力なパスワードの設定やその記憶方法、あるいはリモート勤務の際に安全性を確保する方法といった考え方について、従業員の全員にベストプラクティスの教育を施します。ネットワークを利用する全ユーザーのセキュリティ意識向上を図り、セキュリティチームとそれ以外の従業員とのギャップを埋めるうえで、これは重要な土台です。
Symantec Phishing Readinessと Security Simulationはどちらも、参加者に実地体験をお届けし、攻撃者の観点からその手口、動機、戦術を理解できるようにするサービスです。サイバー意識に関するシマンテックの取り組みを利用していれば、リチャードの勤務する病院もリスクの危険を把握し、問題点を是正して、システムに不正アクセスされる可能性を大幅に減らすことができたでしょう。
シマンテックのサイバー意識向上サービスでは、目的やシナリオを最新に保つべく、今回のようにソーシャルメディアで見つかった投稿をすべて採り入れています。スキル向上にこのようなゲーミフィケーションを採用することで現場の水準が上がり、従来のセキュリティスキルトレーニングと比べると、没入型で効果的な実世界体験が可能です。
セキュリティ上の人的要因を悪用する最新の攻撃戦術を、セキュリティチームが把握し続けるための対策について詳しくは、シマンテックのサイバー意識向上サービスをご覧ください。
【参考訳】