「コンピューターシステムに侵入するよりも、人間をだます方がずっと簡単だ。コストもかかわらず、相手のシステムの環境にもよらない」。かつては伝説的なクラッカー(ハッカー)と呼ばれ、現在ではセキュリティコンサルタントを務めるケビン・ミトニック氏は2013年5月24日、アズジェントが開催したセミナーにおいて、ソーシャルエンジニアリングの危険性について解説した。

 ソーシャルエンジニアリングとは、技術的な手段によらず、相手をだますなどしてシステムの侵入に必要な情報を収集すること。例えば、権限のある人間になりすまして言葉巧みに聞き出したり、公開されている情報やごみ箱に捨てられている資料などから必要な情報を収集したりする。

 ミトニック氏は、ソーシャルエンジニアリングの事例や、現在使われている手口を複数解説した。そのうちの一つが、企業が公開するファイルのメタデータを解析する手口。ここでのメタデータとは、文書ファイルや画像ファイルなどに含まれる付加的なデータのこと。ファイルを作成したユーザー名やパソコンの環境、作成年月日などが含まれる。

 企業がWebサイトなどで公開するOffice文書やPDF文書、画像、動画などを収集し、それらのメタデータを解析すれば、その企業システムで使われているOSやソフトウエアの名前やバージョン、社員の名前や所属、企業ネットワークの構成などが分かるという。メタデータを収集して解析するためのツールも公開されている。

 ツールの操作は「子どもでも使える」(ミトニック氏)ほど簡単。解析したい企業のドメイン名を指定してボタンを押すだけで、自動的にファイルを収集して解析し、ソフトウエアの利用状況やネットワークの情報などを一覧表示する。

 これにより、例えばWindows XPでAcrobatの古いバージョンを使っているパソコンが多いことが分かれば、その環境で動作する攻撃プログラムを送り込むことが“有効”だと分かるという。