USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。
ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。
オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか?
で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、しばらく待たなきゃいけないんだろ。砂時計が矢印になったのを確認して、開けてみる… なんだ、何にも入ってないじゃないか、変なの。え? いや、オレだって知ってるよ、社内通達で、「不審なファイルは開けちゃダメ」って、ほら、".exe" とかいうのがヤバいんだろ? 大丈夫、フォルダを開けるだけなら問題ないはず…
…こんな奴ぁいねぇ、と誰も断言できない。やる奴はいる、必ず。社内のセキュリティシステムを突破して、直接ファイアウォール内のPCへ『配達』してくれるのだから笑いが止まらない。たった一人でOKなんだ。
グッチやシャネルといった有名ブランドのUSBメモリなんていかが? パチモノで充分。ディズニーキャラクターをプリントしてもいい。女の子が「欲しい」と思った時点でトロイの木馬が成功。あるいは『2GB』とプリントするのなんてどう? ギガバイト級の情報を持ち歩くなんて、いったいどんな情報なんだろう? 興味津々好奇心はネコを殺す。
信じたいあなたに実例をどうぞ→"Social Engineering, the USB Way"[参照]。これはセキュリティのコンサルタント会社が擬似的にアタックをかけた例なのだが、受付係のキャンディ皿に蒔けというのは、なかなか気が利いている。
良い子はマネしちゃいけません。そして、"そういう立場の人"は対策を考えておくこと。そのうち出てくるか、見つかってないだけで既にいるのかも。
| 固定リンク
コメント
こんばんは。
http://japanese.engadget.com/2006/06/22/usb-immersion-hood/
これでショルダーハック対策はばっちりだってばっちゃが言ってた!
技術の進歩って恐ろしいですね!
投稿: jackal | 2006.06.27 01:56
ああ~これっすね!
最初見たときは罰ゲームかと思いました…しかし暑そう
投稿: Dain | 2006.06.27 23:49