セキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップし、紹介する。今回の最初の話題はソーシャルエンジニアリングに関するもの。従業員の心の隙を突いた攻撃である。米マカフィーはブログで、様々な産業でデータ流出が相次いでいるが、いずれの場合も最初の感染経路には、共通して、従業員の潜在意識を利用する手法が使われていると指摘している。ソーシャルエンジニアリングを用いた何らかの手口が使われ、マルウエアの感染を助長する行動にユーザーを誘導する。

 公表されている多くのサイバー攻撃でソーシャルエンジニアリングの手口が普及していることは、不正なコミュニケーションを識別する被害者の能力に欠陥があるか、あるいはサイバー犯罪者がヒューマンファイアウオールを回避する、より複雑な手段を使っていることを示している。いずれにしろ、最前線に不備があることは確かだ。

 ただし不正侵入の原因がユーザーにあると非難するのは公平ではない。まったく安全性に欠ける慣習が実行されている一方、攻撃者は標的に気づかれずに、意識下に作用してユーザーを操る手口を使う。

 マカフィーがまとめた最新の白書「Hacking the Human Operating System」(PDF文書)では、ソーシャルエンジニアリングの概念、最近のサイバー攻撃で使われた手口、ユーザーの心理に働きかける手段、使用されるコミュニケーションチャネル、さらに、被害を低減するための対策候補などについて説明している。

 同白書は、ソーシャルエンジニアリングを提議し、認知度を向上するのにとどまらず、影響を最小限に抑える対策を提案することを目的としている。最前線の懸念を解消しなければ、今後もTwitterのタイムラインはデータ侵害の話題で溢れることになる。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら