2010年7月28日水曜日

ソーシャルエンジニアリングってご存知ですか?

まだ完全解明には至っていない様子の「振興銀行」の件。
その事件自体に深くは触れませんが、情報セキュリティの観点から。

警察の捜査が入る前にメールを大量に削除したことで、元々の事件に加えて操作妨害が適用されています。
今の世の中、電子メールは重要な証拠となります。個人がメーラーからメールを削除しても、メールサーバからは完全には削除されず、それらは通常、数世代保管されているからです。
振興銀行は、このことをちゃんと分かった上で、メールサーバから「証拠となる」メールを削除したのです。

重要なデータなので、当然メールサーバへのアクセス権限は厳重に管理されなければならず、振興銀行でも厳重な管理をしていたようですが、結局のところ、「管理者から削除操作を行なうことのできるIDとパスワードを聞き出して」操作を行なったのです。
メール削除、具体的に指南 振興銀のシステム担当役員 
(7月17日 asahi.com:メール削除、具体的に指南 振興銀のシステム担当役員)


管理者だけではなく個人でも、IDやパスワードは他人に知られないようにしなければなりませんが、それを入手する方法の1つに「ソーシャルエンジニアリング」というものがあります。
それは簡単にいうと、「人から聞きだす」ことです。
だまして聞き出すこともそうですし、うしろから覗いたり、メモをあさったりすることが該当します。

今回の件はだましたわけではありませんが、会社での力関係で「聞き出した」のです。
上司に「これが警察に渡ったら会社が潰れる」「僕も君も家族があるだろう?」などなど、そんな台詞と共にIDやパスワードを聞かれたら、どうしますか?

管理者であれば、それでも「否」といえる資質が求められるのでしょうね。
難しいことですね~。

そして、経営者は、これだけのことができる管理者を任命するということは大きなリスクであることを改めて認識しないといけないですね・・・。