先日同僚から、ダークウェブの対策について顧客から相談されているという話を聞いた。日本の顧客からダークウェブという単語を聞くことはあまりないが、最近いくつかハッキングによると思われる情報漏洩事件のニュースも報道されているので気になっている顧客もいるのだろう。
特に以下のニュースは衝撃的だった。
ツイッターは声明で、人間の心理的な隙やミスにつけ込んで情報を盗み出す「ソーシャルエンジニアリング」と呼ぶ手法により、社内システムなどへのアクセス権を持つ一部の従業員が標的になったことを明らかにした。何者かが従業員から盗んだアクセス権を使ってアカウントを乗っ取り、著名人になりすましてツイートしたという。
このツイッターの声明でわかるのは、アカウントの乗っ取りについてはウェブからというよりはリアルで脇の甘い従業員を標的として情報を盗み取り犯行におよんだということだ。
私自身はダークウェブに精通しているわけではないが、ウェブには様々なハッキング情報やハッキングツールなどが出回っていることは以下の記事で読んだ本にも記載があったので知っている。
ハッカーの手口は巧妙でIT技術を駆使しているだけではないことも知っているし、むしろIT技術以外のところのスキルや組織の方に舌を巻く。
ソーシャルエンジニアリングについて知っていたとしても、隣人を疑って生活や仕事をしている人はいないであろう。
しかし、本当に重要な情報を扱うのであれば、疑わねばならないだろうし、むやみやたらと情報を公開するようなことをしてはならない。
居酒屋で飲んで会社のことをペラペラしゃべるなどもってのほかだ。
自分がどのような情報にアクセスしているのかを認識して自己防衛意識を高めておくことがソーシャルエンジニアリングの手口による攻撃を回避する第一歩であろう。
また、企業においては採用活動における本人確認の深さを今よりも深くすることや協力会社の従業員についても目を光らせる必要が扱う情報によっては出てくるだろう。
インターネットを取り巻く技術発展により情報が瞬時に拡散する状況となっているため、情報は洩れたら終わりだということを認識しておく必要がある。
漏れた時点で、その情報は奪い返すことができなくなる。
従って、重要な情報はもらさないための仕組みが必要だが、その仕組みの構築はシステム側にも当然必要だが、それよりもリアルにおける対策を充実させることの方が重要だろう。
リアルでアカウント情報を奪われたら、どんなにセキュリティ対策を施したシステムであってもインターネット経由でアカウント情報を登録すれば利用できるシステムであれば不正利用を防ぎようがない。
実は認証機能を多重化することにより、アカウントハックを防止することも考えられるので、重要なシステムについては認証機能の多重化は今後デフォルトになっていくように思える。
インターネット技術の発展により、ハッキングはネット経由の攻撃と考えられがちだし、確かにハッカー集団はネットの闇に潜んでいるとも考えられる。
しかし、攻撃の初手はリアルから来ることが多いということを忘れてはならない。
初手の攻撃にやられるとその後の防壁は容易に突破されてしまう。
リアルでの注意深さが重要だが、正直そんなこと考え続けていられないので、まずはリアルも十分も危ないと認識するところからはじめると良いだろう。