ビジネス向けソーシャル・ネットワーキング・サイト(SNS)は、企業のセキュリテイ戦略における弱点でしょうか。
標的型サイバー攻撃の実行前や実行中の攻撃者にとって、標的とした企業および従業員に関する情報は有益です。攻撃者はこうした情報を利用して、ソーシャルエンジニアリングの手法を用いた巧妙な標的型メールを送信し、標的としたユーザに開封させようとします。また、標的に関する情報も多く入手できるため、攻撃者は企業のどの従業員を標的にするかを決定できます。
Facebook や Twitter のような SNS は、攻撃者にとって価値ある情報源です。また、標的とする企業が公開している Webサイトなどにも有益な詳細情報が含まれていることがあります。しかし、主に個人情報を扱っているにも関わらず、過小評価されている貴重な情報源があるかもしれません。それは、ビジネスに特化した SNS です。
他の SNS と同じように、こうしたビジネス向け SNS もユーザに情報を共有するよう促します。しかし残念ながら、職歴や職名など、こうした SNS上で共有される情報は攻撃者にとっても非常に魅力的な情報となります。
例えば、ビジネス向け SNS の最大手「LinkedIn」は、従業員が雇用主からの情報を不用意に流出させた際に使用していた SNS として知られています。2015年、半導体製造企業「AMD」のエンジニアが、LinkedIn のプロフィール上から次世代製品に関する詳細を不用意に流出させました。また、米国の政府職員がプロフィールに国家安全保障局(NSA)のコードネームを記載したことも知られています。こうした事例は、たとえ不注意からであったとしても、LinkedIn のプロフィール上から情報がどのように流出する可能性があるかを浮き彫りにしています。
■SNS からの活発な攻撃
SNS上で不注意から情報を流出させてしまうのと、攻撃者が SNS を積極的に悪用するのは別の話です。ここでは、トレンドマイクロが実際に受けた攻撃事例を明らかにすることで、攻撃者がどのように SNS を悪用するかを説明します。
フランスにある弊社のオフィスで、「Viadeo」の招待状が多数確認されました。Viadeo はフランスを基盤としたビジネス向けSNS です。この招待状は筆者を含む数名の従業員に送信されており、すべて 1つの Viadeo のアカウントから送信されていました。この人物はオーストラリアの弊社オフィスで 18年間勤務しており、IT管理部門に所属しているように装っていました。プロフィールにはまったく何の記載もなく、筆者が招待状を受信して調べた時には、連絡先は 4人だけでした。
また、そのプロフィールには「havard, new yord」で勉強したと記載されていましたが、おそらく「Harvard, New York」の間違いでしょう。しかし、ハーバード大学はニューヨークになく、またニューヨーク州には Harvard という町が存在しないため、それ自体がすでに奇妙です。
疑いを持つにはこれで十分でしょう。社員名簿をざっと調べてみると、もちろんそのような名前の社員はいませんでした。また、オーストラリアのオフィスでそのような名前の人物が過去に雇用されていた形跡もありませんでした。
弊社から連絡先や情報を収集しようとしていたことは明らかでした。弊社では、さらなる問題が起こるのを防ぐため、社員に向けて注意喚起を行いました。
■ビジネス向けSNS からどのような情報が収集されるのか
技術のある攻撃者であれば、ビジネス向けSNS から収集した情報を利用して実質的に内部関係者となり、従業員が知る情報のほとんどに通じることが可能です。例えば、誰が誰の直属の上司であるか、誰と同じチームか、どのプロジェクトに関わっているか、などを知ることができます。そのため、内部関係者が持つ多くのアクセス権を入手することが可能です。
つまり、ユーザは「知っている人」を信用しやすく、ビジネス向けSNS でつながっている「誰か」はその枠に当てはまります。そのため、外部からの脅威であったものが内部からの脅威に変化する可能性があります。
弊社では、内部関係者が企業に与える脅威について以前に取り上げました。今回は、内部関係者を装う「誰か」を想像して下さい。窃取した情報は、企業の脆弱な部分や、機密情報が保存された場所に直結する可能性があります。そうなれば、被害は大きいでしょう。
■トレンドマイクロの対策
一般のユーザは、弊社の記事「How to Spot Frauds on Professional Networks(英語情報)」をご参照下さい。ビジネス向けSNS を利用した攻撃を検知し、回避するためのセキュリティ対策や有益な情報を入手できます。
企業は、SNS に関するセキュリティ方針が実施されているかを確認する必要があります。この方針は、社内から SNS へのアクセスを禁止するといった単純なものではありません。従業員が SNS に何を開示できるか、何を開示できないかを明確に定義する必要があります。何が機密情報であるかは業界によって異なるため、それぞれ異なる方針が課されることになるでしょう。
企業はまた、ビジネス向けSNS を悪用して従業員を狙う攻撃に対し、従業員がそれを検知し報告する権限を与える必要があります。インシデント対応チームはこのような事例に注目し、必要に応じて他部署に注意喚起できるようにするべきです。また、企業に在籍している(していた)従業員を検索できるツールも有効でしょう。
ソーシャルエンジニアリングを利用した攻撃から防御するセキュリティ対策は、技術的なものばかりではないと認識することも必要です。防御策のいくつかは人間に由来するものです。こうした事実を受け入れるには、防御側の心構えを変える必要があるかもしれません。
以下の弊社の記事では、標的型サイバー攻撃から防御するための方法をさまざまな観点から学ぶことができます。
- 企業内からの脅威:その基本的な対策
- CTO Insights: Defending Your Organization From Insider Attacks(英語情報)
- ネットワークのセキュリテイ対策:ネットワークとユーザのセグメント化
参考記事:
- 「Reconnaissance via Professional Social Networks」
by Cedric Pernet (Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)