人間の信頼を悪用する方が、コードをハッキングするよりも依然として効果的である（そして、ゼロトラストがどのように役立つか）

ソーシャルエンジニアリングについて語る時、それを何か新しいものだと考えてしまいがちだ。  

しかし、私がポッドキャスト番組「The Segment」で脅威研究者のティム・クロムファルト氏と話した際、彼はこれらの攻撃が実際にどのように機能するのかについて、はるかに単純な説明をしてくれた。

人間はルーティンに従う。

ティムはそれを野原を歩くことに例えた。時が経つにつれ、人々は自然と同じ道を辿るようになる。なぜなら、それが最も簡単な道だからだ。私たちの脳は、仕事における日常的な作業でも同じことをしている。私たちは、依頼を処理したり、メールに返信したり、慣れ親しんだ業務プロセスに従ったりするが、それぞれのステップについて深く考えることはない。

脅威アクターはこのことを知っており、信頼できる人々が使うのと全く同じ手順を用いる。  

その洞察は、現代のサイバー犯罪について重要なことを明らかにしている。最も効果的な攻撃はシステムを破壊するのではなく、正当なビジネスが既に利用しているのと同じ通信経路を辿る。

セキュリティツールが高度化しても、ソーシャルエンジニアリングが依然として効果的なのはまさにこのためだ。

それはまた、ゼロトラストがなぜそれほど重要なのかを説明するものでもある。攻撃者が人間の信頼を悪用してアクセス権を取得できる場合、組織はアクセス権が時折付与されることを想定しておく必要がある。  

つまり、セキュリティアーキテクチャの真の目的は、侵害を防ぐことだけではなく、その後に起こる事態を最小限に抑えることにある。

人間は予測可能な存在であるため、社会工学は今でも有効である。

サイバーセキュリティ対策では、攻撃を技術的な問題として捉えることが多い。ネットワークには、攻撃者がマルウェアを注入したり、セキュリティ上の欠陥を悪用したりできる脆弱性が存在する。

しかしティムによれば、最も成功する情報漏洩は、はるかに単純なこと、つまりソーシャルエンジニアリングから始まるのだという。それは、人々が情報を素早く処理するために、パターンやルーティンに頼るからである。

「私たちは、常に押し寄せてくる物事を単純化する方法を心得ています」とティムは言った。「脳が同じ経路をたどるのは、それが最も簡単な方法であり、時間とエネルギーを節約できるからです。」

攻撃者はこの弱点を利用する。  

彼らは全く新しい手法を考案するのではなく、正当なプロセスを模倣する。彼らは購入依頼に見せかけたフィッシングメールを送信する。PDF添付ファイルは、仕入先からの請求書に似ています。電話はITサポートを名乗っているように見えるが、正規の発信元ではない。

これらの攻撃はシステムを破壊するものではない。それらは、正当なコミュニケーションと同じ道をたどります。だからこそ彼らは成功するのだ。

「脅威となる行為者は、信頼できる人々が使うのと全く同じ手順で侵入してくるのです」とティムは語った。「彼らはあなたがいつもの手順通りに行動してくれることを期待しているんです。」

サイバー犯罪者の手口の核心は、通常のビジネス運営にすでに組み込まれている信頼を悪用することにある。

脅威アクターは侵入し、信頼できる人々が使用するのと全く同じ手順を使用します。

戦術は変わっていないが、規模は

AIに関する過剰な宣伝のため、多くの人は攻撃者が常に新しい技術を開発していると思い込んでいる。

ティムの研究結果はそれとは異なることを示唆している。

「人に信頼してもらうための仕組みは、実際には何も変わっていない」と彼は述べた。「誰かに銀行口座情報を開示させるための、何か新しい斬新な方法は存在しない。」

戦術は一貫している。

• 信頼できる組織になりすます
• 信頼性を築く
• 切迫感や親近感を生み出す
• 被害者に日常的な行動を指示する

テクノロジーが変えたのは規模だ。

AIによる攻撃の自動化により、悪意のある攻撃者はこれまで以上に迅速に数百万通のメールを送信し、さまざまな誘い文句を試し、攻撃手法を洗練させることができるようになる。AIツールは、詐欺メッセージのバリエーションを生成したり、そのインフラの一部を自動化したりすることができる。

しかし、最終段階は依然として人間を操作することに頼っている。

巧妙な詐欺でさえ、最終的には同じ点に収束する。攻撃者は、金銭や認証情報を送金するのに十分な時間、相手に自分を信用させる必要がある。

ティムはこれを一種の漏斗だと表現している。「彼らはルアーの使い方に工夫を凝らすことができる」と彼は言った。「しかし結局のところ、彼らはあなたの情報を入手する必要があるのです。」つまり、彼らは依然として信頼関係を築くか、既に存在する信頼関係を活用する必要があるのだ。

信頼が高まるほどサイバー攻撃の危険性が高まる理由

ティムが人気が高まっている最も不穏な戦術の1つは、 豚の屠殺として知られています。

その名前は奇妙に聞こえるかもしれないが、その戦略は恐ろしく効果的だ。加害者は被害者との関係を築くのに数ヶ月を費やした後、金銭を要求する。

「要は、屠殺前に豚を太らせるということだ」とティムは言った。「彼らは多額の投資を求める前に、何ヶ月もかけて信頼関係を築くのです。」

攻撃者は、テキストメッセージやソーシャルメディアを通じて、被害者に偶然連絡を取ったように見せかけることがある。そこから会話は徐々に発展していく。被害者たちは、日常生活に関する何気ない会話が書かれたメッセージを毎日受け取っている。攻撃者は、関係性をさらに確証するために、写真や動画を共有することさえあるかもしれない。

最終的に、攻撃者は投資機会を提示する。最初は、被害者は少額を投資して利益を得ます。攻撃者は、信頼性を高めるために、少額の利益を引き出すことを容認することさえあるかもしれない。

そして、本当の依頼がやってくる。

彼らは、被害者が利益を2倍、3倍に増やせる大きなチャンスがあると言うだろう。「人々は最終的に、一生分の貯蓄を投資してしまうのです」とティムは言った。

彼が調査したある事例では、あるテクノロジー企業の幹部が700万ドルを失った。この詐欺が成功したのは、技術的な脆弱性を突いたからではなく、攻撃者が信頼関係を築き上げたからだ。

賢い人でも詐欺に引っかかる理由

こうした話が明るみに出ると、まず最初に信じてもらえないという反応が返ってくることが多い。どうしてそんなものに騙される人がいるんだろう？

しかしティムは、こうした詐欺の背後にある心理は、見た目よりも複雑だと説明した。人は完璧な状況下で意思決定をするわけではない。彼らは忙しかったり、気が散っていたり、プレッシャーを感じていたり、あるいは単に真の繋がりを求めているだけなのかもしれない。

ティムにとって、これは多くのセキュリティ議論で見落とされている点を浮き彫りにしている。ソーシャルエンジニアリングが成功することが多いのは、攻撃者が技術的な弱点ではなく、人間のニーズを標的にするからである。

「今日、多くの人々がより多くの繋がりを求めている」と彼は述べた。「ソーシャルメディアは人々を伝統的な人間関係から遠ざけてしまった。」

相手が親しみやすく、共感できそうで、成功しているように見える場合、信頼関係はすぐに形成される。そして信頼関係が築かれると、懐疑心は薄れていく。これはまさに攻撃者が狙っている点だ。

現代の詐欺行為の隠された実態

サイバー犯罪者に関するもう一つの誤解は、彼らが非常に高度なハッカーであるというものだ。

そういった場合もあるが、多くの詐欺行為は企業のコールセンターのような様相を呈している。彼らは台本通りの会話を行い、明確な作業手順を定めている。詐欺的な従業員に対しても、業績評価指標を要求するケースさえある。

ティムの調査によると、こうした組織的な詐欺行為は、手口を絶えず改良している。時には、単に情報収集が目的となる場合もある。また、盗まれた資金を移動させるために使われるマネーロンダリング用の口座や決済チャネルを特定することもある。

しかし、その根底にあるプロセスは驚くほど一貫している。詐欺師は、相手を信用させ、その信頼を利用して金銭を得ようとする。

セキュリティ意識だけでは不十分な理由

セキュリティ意識向上トレーニングは、企業防衛における標準的な要素となっている。

セキュリティ意識は確かに重要だが、ユーザーの行動だけに頼るのは不可能な負担を生み出す。

ティムが指摘したように、人間は常に疑いの目で行動するようにはできていない。「人々が常に正しい判断を下したり、完璧に行動したりすると決めつけてはいけない」と彼は述べた。「たとえ十分な訓練を受けた従業員でも、ミスを犯すことがある。」

だからこそ、 ゼロトラストの考え方は認証とアイデンティティの枠を超えて広がる必要があるのです。組織は、人間の信頼が時として悪用される可能性があることを想定しておく必要がある。

問題は、次に何が起こるかということだ。攻撃者は環境内を自由に移動できるのか、それとも次の行動は制限されるのか？

人々が常に正しい決断を下したり、完璧に行動したりすると決めつけてはいけない。たとえ十分な訓練を受けた従業員でも、ミスを犯すことがある。

ゼロトラストは人間の行動を考慮に入れなければならない

ここでゼロトラストが不可欠となる。

全ての詐欺を防ぐことはできないが、信頼が悪用される事態が発生した場合の被害を軽減することはできる。

攻撃者が認証情報、侵害されたデバイス、またはリモート接続にアクセスできた場合でも、 セグメンテーションと可視性を基盤としたゼロトラスト戦略によって、その足がかりが本格的な侵害に発展するのを防ぐことができます。

ゼロトラストは、人間は常に他の人間を信頼するという単純な真実を認識している。

攻撃者はこのことを知っているため、防御側は信頼関係が崩壊する可能性を前提としたアーキテクチャを設計する必要がある。

ゼロトラストは、今後のサイバーセキュリティの課題解決に役立ちます。

技術は進化し続けるだろう。AIは詐欺行為を自動化するだろう。インフラはより複雑化するだろう。デジタルな人間関係が、物理的な人間関係に取って代わるだろう。

しかし、根本的な問題は変わっていない。サイバー犯罪は依然として信頼を悪用することにあるのだ。

実際、今最も重要なのは建築物の耐災害性である。今日のサイバー犯罪者の手口は、ソフトウェアの脆弱性を悪用することではなく、私たち自身を悪用することに重点を置いている。  

この現実を踏まえれば、組織はサイバーセキュリティに対する考え方を根本的に変えるべきであり、ゼロトラストセキュリティ戦略を最優先事項として取り組むべきである。

The Segment:ゼロトラストリーダーシップポッドキャストの全エピソードを聴くApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.