セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Advanced Practical Social Engineering Courseを受講してきた!!

2月にAPSE(Advanced Practical Social Engineering)を受講してきました。9月に執筆してバックデートして投稿しています。

コース概要

この講座は、『ソーシャル・エンジニアリング』の著者として有名なChristopher Hadnagy氏が講師を勤める講座です。米国では、ソーシャルエンジニアリング技術を悪用した攻撃やペネトレーション・テストが流行していますが、その内容を体系的に勉強したいと思い、オーランドで参加してきました。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

 

ソーシャル・エンジニアリングとは?

人の心理をうまく利用して内部情報を取得する技術全般を意味しています。代表的な応用事例として、標的型メール攻撃や「振り込め詐欺」が挙げられます。海外ではBEC詐欺(Business Email Compromise)や電話を利用したフィッシング攻撃(Vishing攻撃)など様々な攻撃事例が存在します。そのため、米国ではセキュリティ監査の一部として、ソーシャル・エンジニアリングに関するペネトレーション・テストがごく一般的に行われています。

ソーシャル・エンジニアリングは、物理ペネトレーション・テストと非常に相性がよいと感じています。ソーシャル・エンジニアリングの技術を使い、宅配業者や別の拠点にいるビジネスマン、害虫駆除業者を装って物理的なアクセス・コントロールの突破可否をテストしたり、ICカードの複製可否を調査することもあります。

授業の様子

以下授業の様子を紹介しようと思います。

Day1:Know Yourself to Social Engineering

1日目はまずSocial Engineeringの基礎的な知識に加え、以下にターゲットとの信頼関係を構築できるかという技術に焦点があてられます。具体的には、DISC性格分析と呼ばれるテストにて自分の性格とターゲットの性格を把握することに焦点が置かれています。内容としては、ビデオを使った観察など対人関係構築演習に近しいですが、ソーシャル・エンジニアリングの観点からどのように利用しているかに焦点が当てられているため非常に有益でした。

Day2:Preparation & Information

2日目は、ハイテク・ローテクそれぞれの観点から対象組織の情報をどのように収集するか議論が行われました。

ハイテク技術は、OSINTとして知られる技術でGoogle HackingやMaltagoを使った情報収集技術が議論されていました。また米国ではSNSを利用した情報収集技術も発達しておりSOCMINT(Social Media Intelligence)と呼ばれていますが、それを効率的にやるツールなどの演習も行われました(ちなみに、Geolocationを使ってTwitterを追跡したり、ポジティブ・ネガティブな発言を分析するなど、一歩間違えるとネット・ストーキングに発展しかねないようなツールが存在することに正直を驚きを覚えました。本来の目的とすると、内通者などを探し出すのに使うのでしょうが)

ローテク技術は、ダンプスター・ダイビング(ゴミ漁り)、物理ペネトレーション手法の応用などが議論されていました。また、物理ペネトレーションテストの技術についても触れられており、ピッキングツールのみならず変装の小道具(偽者のID・衣装・カメラつきメガネ・カメラつきクリップボード)などを見せてもらうことができました。

なお、別記事で物理ペネトレーションテスト研修を受けてきたことを書きましたが、彼らは物理キーの突破など技術的に突破するハード・パワー型のをおいていますが、ソーシャル・エンジニアリングにおける物理ペネトレーションテストは心理技術などをうまく使って突破するソフト・パワー方のテストを主にしています。

www.scientia-security.org 

Day3:Advanced Preparation Technique

3日目はPretextingと社会心理学の技術について解説が行われました。

Pretextingとは「口実」などとも訳されますが、一言で言えば「自分が演じる役割と状況の設定」のことです。例えば、「就職面接にきているが、レジュメを持参し忘れた人」を装ってUSBメモリを会社のパソコンに刺してくれるようにお願いするなど、情報を引き出したり、ある行動をしてもらうための設定のことを意味します。

また社会心理学の技術とは、ロバート・チャルディーニが提案した「社会的証明」、「返報性の原理」、「権威」など6つの方法に関する技術が解説され、Pretextingにどのように活用していくべきか、ソーシャル・エンジニアリングの観点から解説されていました。

影響力の武器[第三版]: なぜ、人は動かされるのか

影響力の武器[第三版]: なぜ、人は動かされるのか

 

Day4:Psychology and the Social Engineer

ソーシャル・エンジニアリングの観点からポール・エクマンの「微表情観察法」とジョー・ナヴァロの「しぐさの心理学」(ノンバーバル・コミュニケーション)について解説が行われました。ポール・エクマンはLIE TO MEというドラマのモデルにもなった有名な心理学者ですし、「微表情観察法」は松岡圭祐の千里眼シリーズにでてくる岬美由紀が使っている方法でもあります。参加者の中に元空軍出身の人がいたのですが、やはり動体視力がすごく「微表情観察法」のテストもらくらく100%クリアーしており、岬美由紀のリアルバージョンがいたと思いました。

Day5:On the Penetration Test

最終日はソーシャル・エンジニアリングのペネトレーションテストをするに当たり、倫理的側面・法的側面の注意事項などが議論されました。また、午後は総合演習が行われます。(内容は言うと面白くないので秘密にしておきます)。

その他(宿題):

このクラスの特徴として、授業終了後に必ず宿題がでます。内容は、バーやショッピングモールに言って知らない人から指定された情報(誕生日とか座右の銘とかお気に入りのブランドとか)を聞き出してくるという実践的なもので、チームに分かれて取り組みます。そのため、授業自体は17時に終わるのですが、それから宿題をやるために毎日夜の10時ぐらいまでクラスメイトと一緒に進めます(大体その後のみにいきます)。また、宿題は翌日の朝にどのようにして情報をとったか発表してレビューが行われるためその反省を翌日に生かすことができます。そのため、クラスの人とも非常に仲良くなり、人脈をつくることができます。

まとめ・総評

米国に赴任してから初めて受けた5日間のトレーニングでしたが、非常に大満足な内容でした。内容も非常に濃く実践的ですし、また各種試用ライセンスも発行してもらえるために非常にお得度が高いと思いますので、興味がある人はぜひ受けてみると良いと思います。