ソーシャルエンジニアリングの手口
みなさんこんにちは、TRY-CATCH FMで、このポッドチャットはテック技場で働くソフトウェアエンジニアとプロダクトマネージャーの2人が、この日に使えるローム上と話す雑談ネタをお届けする番組です。
はい、日常のジョーマンの中であんま気にすることってないけど、ソーシャルエンジニアリングっていう言葉あるじゃないですか。
はいはいはい。
ITパスポートとかで勉強したような気もしますけど。
そうだね。
最近話題になったニュースとかで言うと、門川のハッキングの件ですけど、あれって言われてるのかな、ソーシャルエンジニアリングがどうだったとかって。
一回サーバー止めたけど、再起動するようなプログラムが仕込まれてて、すぐに止めることができなかったみたいな話があったと思うんだけど。
そうね、内部にいた可能性があるという噂はあったけど、そこからどうなったのかは追い切れてないな。
今度、割と時間経ったしね、追いたいね。
そうだね。今回門川の話っていうよりかは、ソーシャルエンジニアリングメインの話ではあるんですけど、
要はソーシャルエンジニアリングって、内部の人と繋がって機密情報を盗み出すとか、そういった手口だと思うんですけど、そもそもハッカー自身が内部の人になるみたいな話もあるじゃないですか。
そうだね。
まだ内部の人と繋がってみたいなやつだと、ギリ予防はできるかなっていう気もするんですけど、実際内部の人まで来られるとさすがに厳しいなみたいな。
そうだね。結局権限をかなり限定的にする以外にやれることはないかな。一時的な権限を毎回発行するようにするとか、なんかしらそのぐらいに留まるけど、でもじゃあ防ぎすぎるとオペレーションが上がらないしなみたいな話がある。
そうなんだよね。内部の人と繋がるっていうパターンの方でも、例えば勉強会で、じゃあ俺がハッカーだとするじゃないですか。
小須田くんがターゲットだとするじゃないですか。お互い知らない前提だとして、ある程度エンジニアとかなんか結構ね、XとかGithubとかやってるから、
オンラインで繋がろう、オンラインじゃない、オンラインでもいいんだけど、繋がろうと思ったらね、いくらでも繋がる手段もありますよね。
そうだね。
会とかで一緒になるとかさ、そこから仲良くなって、普通に友達みたいになんか1年とか、半年とか1年とかコミュニケーションした上で、ある日突然、
このURLでどうだなみたいなコミュニケーションをした時に、なんか引っ掛けるとかも全然あり得るわけじゃないですか。
それになんかこう、訓練するとか目がいい人だったら、パスワードとかって後ろから見せたら何売ってるか、多分手の動きで分かっちゃうから、
勉強会とかオフラインで会って仲良くなってたら、ショルダーなんとかみたいな名前だった気がするけど、そういうのやって、一緒にちょっと作業とかしようぜって言って、
一緒になった時にトイレとか行ってる間にさ、シュッとやって、入ってなんかするくらいのことは別にできるわけだから。
実際に中に入って禁止情報を盗み出すって、なおさら防ぎにくいなと思ってて、
いやーどうなんすかね、この辺りって、何か癖があるのかな、なんかそのリファレンスとか?
ソーシャルエンジニアリング対策
いやーでもそれも難しいな、だってそのリファレンスですらも実装できるもんな。
そうだねー、適当な、そういう会社を作ってしまえばいいじゃん。
作って、架空の上司を作って、でそいつにリファレンス書かせるみたいなこともできちゃうしね。
だからやっぱコアの部分、そこを触れられるともうちょっとどうしようもない部分みたいなところは本当に一時権限しか出さなくするとか、
そういうのにするしかないのかな。
でも内側から何か仕込むことはその一時権限の間にできちゃうような気はするし。
そうだねー。
今会社にいる人がハッカーなのかどうかすらもわかんないなっていう。
退職済みの可能性もあるし、わりと日本って国のレベルでそれできてなかったような気がする。
スパイ防止法なんかしか止められ続けてないでしょ。
だし今、雇用系の法律の関係で、雇う前に国籍とか出身とか見ちゃダメなはず。
だったような気がするから、警察とかはもう確か出身見れないんだよね。
だった気がする。もし違ったらごめんなので、本当にそれについて何か議論した人は調べてからにしてほしいんだけど。
そこの例外の法律は多分なかったはずだから、その職に就く人は先にチェックしないとダメじゃないみたいな人が結構つけちゃうらしいと聞いてる。
ちなみにこれ全然ソーシャルエンジニアリングにも関係ないけど、もしかしたらその法律に関連する話かもしれないけど、
なんか前、副城崎で新しいエンジニアの人入ってきて、日本人の名前を使ってクラウドワークスに登録したけど、採用した時実は中国人だったっていう人はいたね、確かに。
まあその人がハッカーだったとかじゃないんだけど、普通に多分中国人とかだと多分なんか取ってもらいづらいからみたいな話だとは思うんだけど。
でもちょっと日本語上手かったりとかテキストのコミュニケーションがあんましないとかになるとわからないしね。
仕事をするにはいいんだけど、犯罪防ぐっていう点では厳しいよねっていうのはやっぱり。
そうですね。
まあちょっとソーシャルエンジニアリングの話に戻るけど、どうしようもないのかな。
ちょっと本当にこのあたり詳しい人いたら教えてほしいですっていうくらいなんですけど。
そうだね、結局やっぱこれ系のってさ、起きづらいようにさっきした制限、限定していくパターン、できることを限定するパターンと起きた時に、
カドカンランサムウェアみたいに本当にどうしようもない状態にならないように、起きた時のダメージを軽減する方向の2方向に行くと思うんだけど、
ソーシャルエンジニアリングってなんかちょっとそれらをやるのになんか限界があるような気がするよな。
そうだよね。マジで思いつかない、制作方法。
とはいえこうしたら抜けれちゃうじゃん。すべて落ち着くような気がする。
マジで、すぐ隣にいる同僚の人と変わらんから。その人が急にダークサイドに落ちるのと変わらないからさ。
だから役職これ以上になる人は本当にちゃんとチェックをするっていう範囲決めて、その役職以上の人しか持てない権限をある程度ちゃんと作るみたいな方法にするとかね。
ちょっとこれ詳しい人いたら、Xのリプとかで押してほしいです。
はい、じゃあ終わりましょうか。
それではこんな感じで、平日4回公開を目標に配信しているので、プライタッチFMの更新をチェックしたい方は、
今回のPodcastアプリでフォローしていただけると嬉しいです。
また、面白いと思っていただけた方はPodcastの高評価もお願いします。
では今回も聞いていただきありがとうございました。
