ハッカーの標的は技術ではなく人間の心理、ソーシャルエンジニアリングがカギ

ハッカーの標的は技術ではなく人間の心理、ソーシャルエンジニアリングがカギ - innovaTopia - (イノベトピア)

Last Updated on 2024-05-06 by admin

現代のハッカーは、新しい戦術ではなく、人間の弱点を利用する古典的な手法を用いている。ソーシャルエンジニアリングは、人間の心理を操り機密情報やセキュアシステムへのアクセスを得る長い歴史を持つ手法であり、技術的な脆弱性ではなく人間の脆弱性に依存している。ハッカーは、人間の信頼や好奇心を悪用して防御を突破する。

ハッキングの戦術は進化し、より洗練されている。例えば、MGMカジノのハッキング事件では、サイバーセキュリティの専門家集団が心理的操作を駆使して防御を突破した。ハッキングの手法は世界的に広がり、心理的原則を利用して信頼や権限を悪用している。

技術の進歩にもかかわらず、人間の要素は攻撃の弱点となり続けている。セキュリティ意識のトレーニングは、心理的操作のリスクに対処する教育を含むべきである。情報を共有する前に要求者の身元を複数のチャンネルで確認し、アクセス制御を厳格に実施することが情報漏洩のリスクを最小限に抑える。セキュリティの専門家と協力して、技術的な防御策と人間の要素を考慮した包括的なセキュリティアプローチの開発が重要である。

【関連記事】
ソーシャルエンジニアリング関連の記事をinnovaTopiaでもっと読む

【編集者追記】用語解説

  • ソーシャルエンジニアリング: 人間の心理的な隙につけ込んで重要情報を盗もうとする手口のこと。技術的な手段ではなく、人間の行動に着目した攻撃方法。
  • フィッシング: 偽の銀行やウェブサイトを装って個人情報を盗もうとする手口。メールや偽サイトを使って不特定多数に向けて行われる。
  • スピアフィッシング: フィッシングの一種で、特定の組織や個人を狙い、よりリアルな偽メールを送付する高度な手口。
  • MGMリゾーツ: ラスベガスに本社を置く大手カジノ運営企業。2022年にソーシャルエンジニアリングとランサムウェア攻撃を受けた。

【編集者のつぶやき】

MGMリゾーツのハッキング事件て気になりません?

まとめてみました

MGMリゾーツは2022年9月に、高度なソーシャルエンジニアリング攻撃とランサムウェア攻撃を受けました。この攻撃は、同社のIT部門を狙ったスピアフィッシングから始まりました。

ハッカー集団は、ITサポート員を偽装した電話やメールで、MGMリゾーツのIT担当者を欺き、認証情報を入手しました。この手口でシステムに侵入すると、ランサムウェア「BlackCat」を展開し、約3万台のコンピューターをマルウェアに感染させました。

この攻撃の影響は甚大で、MGMリゾーツのウェブサイトやモバイルアプリが機能停止に陥りました。カジノ施設でも一部サービスが利用できなくなり、2022年9月の客室稼働率は前年比5ポイント低下しました。

さらに深刻なのが、2019年3月以前にMGMリゾーツを訪れた顧客の個人情報が流出したことです。氏名、住所、電話番号、メールアドレス、生年月日、運転免許証番号、一部の顧客では社会保障番号やパスポート番号までがハッカーに渡ってしまいました。

この事態を受け、MGMリゾーツは大規模なシステム停止とデータ復旧作業に着手しました。第3四半期の業績は約1億ドル(148億円)の減益となり、対応費用として1,000万ドル近くの出費も発生しています。

ハッカー集団の身元は「ALPHV/BlackCat」とみられており、同じ集団がライバル企業のシーザーズエンターテインメントにも攻撃を仕掛けたとされます。 FBIが捜査に乗り出すなど、事態は重大な事案と位置付けられています。

この一連の攻撃は、ソーシャルエンジニアリングの脅威が身近なものになったことを物語っています。技術的な対策はもちろん重要ですが、人的側面のセキュリティ意識向上が急務となっています。

【おまけ】
わかりやすい動画をIPA:情報処理推進機構が作っているのでリンクを貼っておきます

華麗なる情報セキュリティ対策 統合版(IPA:情報処理推進機構)

【ニュース解説】

現代のハッキング技術は、技術的な脆弱性を突くだけでなく、人間の心理的な弱点を利用することにも重点を置いています。このアプローチは、ソーシャルエンジニアリングと呼ばれ、人間の信頼や好奇心を悪用して機密情報やセキュアシステムへのアクセスを得る手法です。この手法は新しいものではなく、デジタル時代に適応された古典的な戦術であり、人間の心理を操ることによって防御を突破します。

例えば、MGMカジノのハッキング事件では、サイバーセキュリティの専門家集団がヘルプデスクの従業員を心理的に操作し、パスワードや多要素認証(MFA)コードのリセットを誘導しました。これにより、攻撃者はターゲットとなる従業員の個人的なソーシャルメディアアカウントにアクセスし、さらにはMGMの管理ITサービスに侵入することに成功しました。このような攻撃は、技術的な手法だけでなく、人間の心理を巧みに操ることで成立しています。

このような攻撃の背景には、人間が持つ自然な信頼感や好奇心、緊急性への反応などの心理的特性が利用されています。攻撃者はこれらの特性を理解し、それを利用してセキュリティの隙間を見つけ出します。そのため、技術的なセキュリティ対策だけでなく、人間の心理に基づいた対策も同様に重要です。

セキュリティ意識の向上は、この種の攻撃に対する最前線の防御策です。従業員やスタッフに対する教育を通じて、ソーシャルエンジニアリングの手法や、フィッシング、プリテキスト、ベイティングなどの一般的な戦術についての認識を高めることが重要です。また、予期せぬ情報要求に対しては、その要求が組織内部から来たものであっても疑問を持ち、身元を複数のチャンネルを通じて確認する文化を醸成することが必要です。

さらに、アクセス制御の厳格化や最小権限の原則の適用など、技術的なセキュリティ対策と人間の要素を考慮した包括的なセキュリティアプローチの開発が求められます。セキュリティの専門家と協力し、組織のセキュリティ体制を評価し、技術的防御と人間の要素の両方をカバーするセキュリティ戦略を策定することが、現代の複雑なサイバー脅威に対抗する上での鍵となります。

結局のところ、技術が進化しても、人間の心理は変わらず、攻撃者にとっての突破口となり得ます。このため、心理的な脆弱性を理解し、それに対処することは、技術的な防御を強化することと同じくらい重要です。MGMカジノのハッキング事件やその他の事例は、サイバーセキュリティにおいて人間の心理がいかに重要な役割を果たしているかを示しています。

from The Psychological Underpinnings of Modern Hacking Techniques.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ハッカーの標的は技術ではなく人間の心理、ソーシャルエンジニアリングがカギ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です