人気番組のスタッフに成りすまして潜入し、極秘情報を奪う…日本の企業を狙う悪いヤツらのヤバすぎる侵入手口
「入館カード」を偽装
USBメモリを使用できないよう制限されたPCを使っている企業も多いですが、別の機器に成りすまして情報を送受信できる特殊なUSBデバイスを用いる攻撃者もおり、あまり意味がありません。また、PCの中に入っていた個人情報を握られ弱っている社員個人を脅して、さらなる情報を要求するケースも散見されています」 あまりに単純な手口だが、頭のなかで「もしも自社が狙われたら」を想定してみてほしい。どこかのタイミングで、Bが悪意を持った集団だと見抜くことができるだろうか? 「重要情報を狙う集団は、対象企業側の心理や性格を十全に分析して侵入を試みます。その会社の全体図を見渡せば、盲点はいくつもあるのです」 稲村氏はよりシンプルな方法として、「入館カードの偽造による侵入」を挙げる。多くの会社が入館カードと管理ゲートによって不審者の侵入を防いでいるが、カードの仕組みや入退管理システムに単純な認証方法が採用されている場合、特殊な機器でカード内の情報を読み取り、「偽装入館カード」を作ることが可能だという。 「社員個人や出入り業者をターゲットに設定して、たとえば帰りの満員電車などに一緒に乗り込み、その人物の鞄に特殊な機器を近づければ、入館証のデータを読み取るともできる。それをもとに偽造カードを作ってしまえば、会社への出入りが簡単にできるようになります。これも実際に使われている手法です。 侵入さえすれば、後は前述のような方法で情報を窃取します。偽の打ち合わせよりも侵入する機会が増えるので、それだけ被害が多くなる可能性もあります」
会ってしまえばおしまい
そのほかにも、ターゲット企業の周りにマルウェアを仕込んだUSBメモリをばらまき、不思議に思い拾って差し込んだ社員のPCをウイルス感染させる有名な手法や、会社近くのカフェでPC作業をしている社員がトイレに行った隙にPCを窃取するなど、物理的手段で機密情報を奪う方法は数多くあるのだ。 「たとえば週刊誌の記者がターゲットなら、『現政権の閣僚の情報がある。提供したいのでどこかで面会したい』という連絡が編集部に寄せられれば、真偽はともかく一度会ってみるかとなるでしょう。そうして誘い出して、その記者のPCをUSBメモリなどを使ってウイルス感染させることもできる。 あるいは、面会を重ねて関係を醸成して、後日マルウェアを仕込んだファイルを送付する。これを開かせたり、特定のリンクを踏ませるなどの手段のほうが効果的かもしれません。 情報を奪い取る手段は技術的な手法ばかりではなく、アナログな手法も有効であり、それらが緻密に組み合わせられて実行される……と認識すべきです」 企業のサイバー攻撃への防御意識は日々高まっているが、一方で、物理的な攻撃や心理面に強く働きかける攻撃への防御意識はまだまだ不十分だと感じている、と稲村氏は警鐘を鳴らす。 「今回紹介した手法は、セキュリティ業界のなかではよく知られたものばかりですが、一般社会では広く浸透していません。いま一度、専門家の指導や助言のもとで、自社の防御壁が機能しているかを確認し、物理および心理的な側面を含む侵入テストなどを実施すべきだと思います」 カフェや共用スペースでPCを開いて仕事をしている社員がいないか。面識のない相手との電話やメールに気楽に対応していないか。入館セキュリティは万全か。普段は見かけない人が誰かの机を漁っていないか―いまあなたが働いている環境は、実は「情報漏洩の穴」だらけなのだ。 物理的侵入によってPC1台を持ち出されただけで、企業は多大な害を被る 「週刊現代」2024年10月19日号より
週刊現代(講談社・月曜・金曜発売)