業務システムへの不正ログインを防ぐための措置として、スマホなどと連動した多要素認証の仕組みを導入されている企業様も少なくないと思いますが、多要素認証を突破するための方法は既に幾つもあることはご存知でしょうか?
万一、システムにログインするためのIDとパスワードが知られてしまったとしても、自分が持っているスマホに表示される認証コードさえ知られなければ、被害に遭うことは防げる。
そのような理由から多要素認証の利用が推奨されていますが、自分がIDとパスワードを入力しているログインページが実は偽の画面で、そのページにIDとパスワードを入力したら、あなたが持っているスマホに認証コードが表示されたとしたらどうでしょうか?
ログインページにIDとパスワードを入力したと同時に、スマホに認証コードが表示されたら、自分がアクセスしているログインページがまさか偽のログインページだったなんて、思いもよらないのではないでしょうか?
巷では今、こうした心理の隙を突いたフィッシング詐欺が増加しており、ソーシャルエンジニアリングを仕掛けられることによって犯罪者に不正ログインを許してしまい、被害に遭ってしまうという事例が実際に発生しています。
偽のページから本物のページにアクセスする仕組みがあれば、多要素認証の突破は簡単
多要素認証を突破する手口は実はそれほど難しいものではなく、偽のページをプロキシサーバのようにして、偽のページ上で入力した内容が本物のページに送られ、本物のページから返される画面を偽のページ上に表示するようにすれば、利用者からは、見かけ上は本物のページにアクセスしているように見えるという単純な方法があります。
偽のページは犯罪者のコントロール下にありますから、偽のページ上で入力された情報や、本物のページから返される情報などは犯罪者が入手し放題です。そして、偽のページ経由とはいえ、利用者側から見れば、実際に本物のページにアクセスしているのと同じですから、多要素認証もしっかり機能します。
自分が偽のページにアクセスしていると気づかなければ、ログインと同時に自分のスマホに認証コードが送られてくることになるので、
「認証コードが送られてくるのなら、自分がアクセスしているページは本物のページに違いない」
などと思い込んでいると、簡単に騙されてしまうことになります。ここで利用者が偽のページ上で認証コードを入力したり、スマホからアクセスを承認したりすれば、多要素認証の突破は完了です。
本物のページへのアクセスは、実際には犯罪者が用意したコンピュータ上から行っていることになるので、犯罪者はここで、本物のページへのアクセス権をまんまと奪い取ってしまうというわけです。
本物ページへのアクセス権の奪取に成功したら、利用者へは本物のページの画面を返す代わりに、エラー画面を返しておけば、利用者側は「ネットワークエラーなのかな?」とか、「サーバーの故障?」などと勝手に思い込んでくれるので、不正にログインされてしまっていることなど気づきもしないでしょう。
こうして利用者が気づかないうちに悪用を済ませてしまえばコトは完了というわけです。
大事なのは偽物かどうかを見分けるという事ではなく、もし、これが偽物だったら?と考える習慣を持つこと
標的型メールにしても、フィッシング詐欺にしても、犯罪者側は仕掛けを簡単に見破られないよう、手の込んだ仕掛けをしてきます。それ故に、一般の利用者が本物と偽物を見分けることなど難しい、ましてや、そのような知識を身につけさせることなど無理があるのだから、教育なんてしたってしょうがない。
そう考える方もいるかもしれません。実際、そのような考え方から、利用者教育よりも、システムによって防御する仕組みを導入することのほうに力を入れている企業もあるかもしれません。
しかし、利用者が自分の意志でアクセスし、自分の意志でIDやパスワードを入力していたらどうしようもありません。システムがいくら警告を表示したとしても、利用者自身が「この警告は誤報だ」と思い込んでしまっていたらどうしようもないわけです。
犯罪者はまさにこうした思い込みを巧みに利用し、利用者の心理の隙を突いて攻撃を仕掛けてきます。これがソーシャルエンジニアリングです。
このようなソーシャルエンジニアリングを利用した攻撃から身を守るには、
「もし、これが偽物だったら?」
と考える習慣を、従業員の誰もが持つ。ということです。
自分がアクセスしているページが偽物か本物かを見分けられるだけの技量を持ち合わせていなくても、もし、偽物だったらどうなるか?ということを想像する習慣があれば、ちょっとでも不安に思うようなことがあれば、周りの人に聞くなどのアクションを起こすはずです。
100%ではないにしても、そうしたアクションが少しでも多く取られるようになれば、それだけで被害に遭う確率を確実に減らすことができます。
大事な事は、セキュリティの専門家レベルのような知識を従業員に身に着けさせることではなくて、起きうるリスクを常に想像し、被害に遭わないよう、リスクを回避するためのアクションを従業員が起こせるようにする。とういうことなのです。
そうした習慣は訓練を行うことによって身に着けられます
起きうるリスクを想像できるようにするには、そもそも起きうるリスクには何があるか?を知っていなければ想像のしようがありません。
起きうるリスクについて、座学によって学ぶことはできますが、「見ると聞くでは大違い」という言葉があるように、思っていたのと違う。ということはよくあることです。
こうした誤解や考え違いを防ぐには、実際にリスクを体験して、五感で覚えるというのが効果的です。
標的型メールやフィッシング詐欺を実際に体験して、座学で学んだことはこういう事だったのか!という「アハ!体験」をしてもらう事。これが実際に訓練を行う事の重要な意義なのです。