日本実務出版 「安全と管理」「展示会情報」「セキュリティ産業年鑑」「防犯機器情報」  
 
セキュリティ関連会社INDEX
機器部門別情報
検知器部門
伝送装置部門
緊急通報装置部門
出入管理部門
バイオメトリクス部門
錠前部門
ホームセキュリティ部門
情報セキュリティ部門
クラウドセキュリティ部門
映像監視システム部門
映像機器(カメラ)部門
映像機器(レコーダー)部門
映像機器(レンズ他)部門
雷害対策・電源装置部門
ロス防止機器部門
無線通信機・システム部門
警備関連部門
防犯機器・装置部門
防災機器・装置部門
トータルセキュリティ部門
その他機器部門
市場別情報
学校のセキュリティ
重要施設のセキュリティ
ビル・オフィスのセキュリティ
金融機関のセキュリティ
商業施設のセキュリティ
工場のセキュリティ
公共施設のセキュリティ
医療機関のセキュリティ
ホームセキュリティ
地域防犯
企業情報
TOPIC
震災支援
TOPIC
TOPIC
新着情報
TOPIC
SECURITY SHOW 2015
危機管理産業展2014
テロ対策特殊装備展'14
第9回オフィスセキュリティEXPO
第13回自動認識総合展
情報セキュリティEXPO 2010
第15回「震災対策技術展」横浜
出版書籍
防犯・防災専門サイト「セキュリティナビ」
  

ソーシャル・エンジニアリングの第一人者が語る
「進化する標的型攻撃。ヒューマンハッキングの実態」開催される

 セキュリティ及び運用管理ソリューションを提供する潟Aズジェントは、ソーシャル・エンジニアリング対策の必要性を伝えることを目的に、5月24日都内において、ソーシャル・エンジニアリングの第一人者によるヒューマンハッキングの技法に関するセミナー 「進化する標的型攻撃。
 ヒューマンハッキングの実態」を開催した。
 セミナーでは、ソーシャル・エンジニアリング・フレームワークの第一人者であるクリストファー・ハドナジー氏と、潟Aズジェント セキュリティセンターフェローである駒瀬 彰彦氏、誰もが知っている伝説のハッカーであり、現在はセキュリティ・コンサルティング会社を設立し、世界各国でセキュリティの啓蒙活動を行なっているケビン・ミトニック氏が講演した。
 ソーシャル・エンジニアリングは、法人・自治体・個人などに影響を及ぼしている現在最も重大な脅威であり、ソーシャル・エンジニアリングに使われている手法は「フィッシング」、「電話による詐欺」、「なりすまし」などが挙げられる。
 日々、標的型サイバー攻撃、ボット感染や遠隔操作ウイルスによる情報漏えいなどのセキュリティ被害が多発しており、インターネットユーザーの半数以上が、1日1通以上のフィッシングメールを受け取っている現在、個人にとっても企業にとってもフィッシングは大きな問題となっている。
 また、電話による詐欺が、米国において、2012年には33%増加しているという報告もある。
 日本の東日本大震災の時に、米国において、以下のような電話による攻撃が仕掛けられた。
 地震の8時間後に立ち上げられた英語サイトには、「知人が津波や地震で行方不明になっていたら探します。」、「費用は必要なく、行方不明者の情報が判明しだいお知らせします。」と掲載されており、自分の名前とメールアドレス、自宅住所、電話番号、生年月日、また探している人の名前と生年月日の入力を促していた。
 後日、女性から電話がかかってくる。
 「自分も今回の津波で親族を亡くしました。日本の救援基金を募っています。送金をしてほしい。銀行のSWIFTコード、口座番号を伝え、少額の寄付を送金してほしい。」と言ってくる。
 電話を受けた人は同じ災害で大事な人を失った人に感情移入して、送金してしまう。
 さらに後日、金融機関の者と名乗る別の人物から電話がかかり、「こういう送金データがありますが、日本の救援基金に送金することに間違いありませんか?情報確認をさせてください。」と言って、社会保障番号を聞き出す。
 数日間で、住所、氏名、メールアドレス、電話番号、生年月日、銀行名と支店名(SWIFTコード)、口座番号、社会保障番号の情報が詐取されてしまう。
 悪意ある攻撃者は、被害者を名乗って、融資を受けたり、クレジットカードを作ったり、ローンを組むことも可能となり、被害者は多大な損害を被ることになるのである。
 このように、悪意ある攻撃者は、様々な技法を使用して、企業や個人の大切な情報を盗み取っていくのである。
 日本国内においても、特定の組織を標的とし、主として知的財産の詐取を目的とした標的型サイバー攻撃は、4年間(2007〜2011年)で6倍に増加している。
 どんなに優れたセキュリティ技術であっても、それを利用したり管理するのは人間である。
 そこで攻撃者は、人間の心理あるいは、行動における盲点やミスを突いて不正に情報を入手するソーシャル・エンジニアリングを行うのだ。
 標的型攻撃やフィッシングなどはIT技術とソーシャル・エンジニアリングを組み合わせた攻撃なので、ソーシャル・エンジニアリング対策を行うことは情報セキュリティ対策の第一歩ともいえる。
 ソーシャル・エンジニアリング対策では、多段にわたる対応が必要であることを認識することが最も重要であり、社員教育などを通じ、ソーシャル・エンジニアリングの手法を認識し、各個人が対応すべき最低限の事項を確実に実施すること。
 また、入口・出口対策の強化など技術対策を充実させることが重要である。
 そこで、潟Aズジェントでは、クリストファー・ハドナジー氏および、ケビン・ミトニック氏によるソーシャル・エンジニアリング対策のトレーニングコースの開講を予定している。
 また、同社が提供している「セキュリティ・プラス(TM)マネージド セキュリティサービス」は、セキュリティ・イベントの早期発見と日々の運用作業の負担を軽減するために、ユーザーのシステムを同社のセキュリティ監視センターから運用監視するサービスで、専門アナリストが24時間365日ユーザーのシステムを監視、ユーザーネットワークの安全性を維持する幅広い機能を持ったサービスだ。 

  潟Aズジェント
TEL 03-6853-7402

http://www.asgent.co.jp/Seminar/

2013年6月10日発信

 
会社案内お問い合わせ