読者です 読者をやめる 読者になる 読者になる

セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

FBI Elicitation Techniquesを翻訳してみた

ソーシャル・エンジニアリングの世界で有名なドキュメントであるFBI Elicitaiton Techniquesを改めて読む必要があったのですが、今後も参照することがあると思い勝手に翻訳*1を作成したので公開しておきます。

  • 諸注意
    • 翻訳上の誤りは多々あると思いますが、自己責任でご活用ください。
    • 記事の意図を反映するため、意訳をしているケースが多々ありますし、省略したり追加で言葉を添えている場合があります。
    • いまいち意図がわからない文章もあったので、その場合は推測で訳をしている場合があります。

誘導質問技術(Elicitation Techniques)

この記事では、誘導質問(Elicitation)の基礎と技術を紹介します。技術と脅威を知ることで、誘導質問に気付き、回避することができます。

誘導質問は、こっそりと情報を収集するための技術です。特定の情報を狙っていることを相手に気付かせず、簡単には入手できない情報を収集するために行う会話技術です。この技術は、威嚇的ではなく、簡単に偽装したり(攻撃したことを)否定できる効果的な手法です。この手法は通常の会話だけでなく、電話経由であったり、あるいは手紙などでも応用可能です。

熟練した攻撃者が実行すれば、誘導質問は、普段の会話や業務上のただの会話のように見えます。攻撃対象者は、自分がターゲットになっていること、もしくは自分が価値のある情報を提供したことにまったく気付かないでしょう。

多くの産業スパイや海外の諜報機関に所属する担当者は誘導質問技術の訓練を受けています。彼らの仕事は、非公開情報を入手することです。商売敵はあなたの会社と競争で勝つために情報を欲しがりますし、海外諜報機関の担当者は米国の国防技術に関する情報を欲しがるでしょう。

誘導質問の定義

(尋問されているような)不快感を与えることなく、情報を引き出すための会話の戦略的活用

誘導質問は、シンプルかつ露骨に実施されることもあります。露骨に行われた誘導質問は簡単に気付き、回避することもできてしまいます。その一方、創造的な方法で、継続的かつ壮大な計画の下に行われ、時には仲間も雇って行われるような場合もあります。誘導質問を行う際には、会話内容と特定の質問をコントロールするため、偽の経歴を使うこともあります。

誘導質問者は、将来の攻撃に備えて、あなたやあなたの同僚の情報を集めることもあります。誘導質問は、情報交換の場、カンファレンス、電話、街中、インターネット、誰かの家などありとあらゆるところで実施される可能性があります。

あなたも誘導質問を受ける可能性がある

対象人物に意図を知られず、情報を取得することは珍しいことではありません。あなただって、誰かのためにサプライズパーティを開こうとして、本人に気付かれることなく、スケジュール、欲しいもの、食事の好み、もしくは他の情報を集めたことはあるでしょう?

但し、このことは、経験豊富な誘導質問者が(あなたが共有しようとは考えてない)価値がある情報を狙った場合にこのことは問題になります。なぜなら、あなたが誘導質問であることを理解し、質問を避けることが難しいからです。

なぜ誘導質問は有効なのか?

訓練された誘導質問者は、人間の性質や文化の特徴を理解しており、それを悪用する技術を持ち合わせています。誘導質問者が利用するであろう特徴は以下のとおりです。

  • 礼儀正しく、協力的でありたい。(たとえ、赤の他人や最近知り合いになった人に対しても)
  • 博識があり、見聞の広い人物でありたい(特に自分の専門分野については)
  • 高く評価され、なにか重要なことに貢献していると思いたい
  • 賞賛や励ましが受けた場合、よりその分野に携わり、自分をよく見せたい
  • 噂を好む
  • 他人の間違いを正そうとする
  • 相手が詮索している情報、与えられた情報の価値を低く評価する(特に、情報がどのように利用されるか知らない場合)
  • 他人が正直だと信じ、他人を疑うことを好まない。
  • 「正直」な質問をしたときに、正直に答える。
  • 他人と意見交換をしたい

例えば、あなたが公共の場で誰か(攻撃者)に会った際、自然な会話の中で「相手を知る」ような質問が仕事に関連する内容だったとします。所属している会社のことには一切触れていません。彼(攻撃者)は仕事の満足度について聞いてました。もしかたら、あなたは仕事に関する不満をこぼしたかも知れません。但し、その時あなたは「この人は私がどこで働いているか、何をしているか知らないし、ただちょっとした会話をしているだけだ。この質問に答えても害はないだろう」と考えたことでしょう。

しかしながら、攻撃者はあなたが何を本当は知ることができてしまうかも知れません。彼は、他人という立場、あなたが正直かつ博識のある人だと思われたいという性質、「情報を悪用される」とは疑わない人間の自然な特徴をうまく活用しているのです。この自然な会話だけで、不満のある社員を見つけだし、インサイダー情報の提供候補者を見定めることができてしまうかも知れません。

技術

誘導質問術には多数の技術が存在し、実際には複数の技術を組み合わせて利用します。以下にその技術の一部を記載します。

  • 推測された知識(Assumed Knowledge)
    • 特定の知識を持っている、もしくは知識を持つ人と知り合いだと装うこと。
    • 例:「前一緒に働いていたネットワーク専門の人によれば...」
  • ブランケッティング(Bracketing)
    • より具体的な数値を聞きだすために、高い値と低い値を提供すること。
    • 例:「もうすぐ利率を上げると仮定します。私は、それを5ドルから15ドルの間だと予想しています。」ターゲット「おそらく7ドルぐらいでしょう」
  • ブタをおだてる(Can you top this?)
    • 昇進したいと思っている人に対して、期待をこめて大げさな嘘をつくこと。
    • 例:「私は、M社が驚くべき新製品を開発していると聞きました...」
  • 擬似餌(Confidential Bait)
    • 見返りに機密情報を受け取ることを期待して、機密情報を漏らす振りをすること。
    • 例:「ここだけの話なんだけど...」「オフレコの話だけど...」
  • 批判(Criticism)
    • (反論の中で)機密情報を話してくれると期待して、個人や組織を批判すること。
    • 例:「どんな手を使ってその仕事を受注したんですか?競合のB社の方が、その仕事を得意としていることは周知の事実なのに」
  • 偽の情報と否定(Deliberate False Statements / Denial of the Obvious)
    • 正しい追加情報が提供されることを期待して、間違った文章を述べて相手に訂正させること
    • 例:「プロセスがうまく動かず、DARPAドリームプロジェクトがずっと開始されないことはみんな知っていますよ」
  • 無知を装う(Feigned Ignorance)
    • その分野について詳しくないことを装い、正しいことを教えてあげようとする人間の特徴を悪用すること。
    • 例:「私はこの分野には詳しくなくて、助けて欲しいんですよ。」
  • お世辞(Flattery)
    • 情報提供をしてくれるひとをおだてて、賞賛する方法
    • 例:「あなたはきっと、この新製品を設計する上で重要な人物であったに違いありません。」
  • よい聞き手(Good Listener)
    • 辛抱強く耳を傾け、人の気持ち(ポジティブかネガティブか)を確認しながら、不満を漏らしたり、自慢する本能を悪用する手法。信用に値すると思われれば、より多くの情報を共有してくれるはず。
  • 質問を誘導する(The Leading Question)
    • 少なくてもひとつの前提を含んだ、YES / NOで答えられる質問をする方法
    • 例:「前の仕事を辞める前、統合テストに関する仕事をしていたことがありますか?(真意:「あなたは前の職場でどのような仕事をしていましたか?」)
    • 訳注:YESと答えれば統合テストに関する仕事をしていたことがわかるし、Noと答えれば追加情報をくれる可能性が高い。
  • マクロ→ミクロ(Macro to Micro)
    • マクロなレベルから会話を開始し、徐々に実際に興味があるトピックに対して会話を誘導していくこと。最初に経済のことから会話を始め、政府の支出、国防予算の削減に話を移し、その後「予算削減があった場合、Xプロジェクトにはどんな影響があるんでしょうか?」などと話を進めていく。よい誘導質問者は、情報おを聞きだした後、逆のプロセスをたどり、会話をマクロな話題に再度誘導する。
  • 共通の趣味(Mutual Interest)
    • 趣味・経験など共通の興味があることを利用して類似性をアピールして、情報を引き出したり、情報を引き出す前にラポールを形成すること。

    • 例:「あなたのお兄さんはイラク戦争に参加したんですか?どの部隊に所属していました?」

  • 遠まわしの言及 (Oblique Reference)
    •  別のトピックへの洞察を与えるようなトピックを議論します。例えば、パーティのケータリングに関する質問をすれば、外部業者が施設に持っているアクセスの種類を推測するための情報源となり得ます。

  • 反対勢力・偽りの不信感(Opposition/Feigned Incredulity)
    • 自分の立場を守るために追加の情報を求める目的で、反対勢力や不信感を表明すること。
    • 例:「あなたがそんなスピードで設計し製造できるはずがありません。」「理論的にはいい方法だが...」
  • 挑発(Provocative Statement)
    • 会話の残りの部分を誘導し、質問が攻撃者のほうに向くように挑発して誘導すること。他の人の会話に乗っかることで、挑発は会話の一部となりより無害な印象をもたれます。 
    • 「仕事のオファーを受けなかったことに後悔したよ。」攻撃者:「なんで受けなかったのよ?馬鹿なの?」
  • 調査(Questionnaires and Surveys)
    • 調査のための無害な目的を述べ、他の質問の中に、自分が本当に知りたい質問をいくつか混ぜて質問します。もしくは、調査を会話を開始するための口実として利用します。
  • 引用された事実(Quote Reported Facts)
    • (真偽は問わず)情報を引用をする(装う)ことにより、情報の一部が公に公表されていると思わせる手法
    • 例:「あなたの会社がリストラをしているという報道についてコメントをいただけませんか?」「アナリストが状況を○○のように予測している記事を読みましたか?」
  • 偽のインタビュー(Ruse Interviews)
    • ヘッドハンターを装ってで電話して、経験や資格、最近のプロジェクトのことについて聞き出します。
  • 部外者を狙う(Target the Outsider
    • ターゲットが所属していないグループの人たちに質問をしてみる。多くの場合、友人・家族・ベンダー・子会社・競合他社は(なにかしらの)情報をもっていますが、なにが共有すべきでないかについてはきちんと理解していないかも知れません。
  • 情報の提供と見返り(Volunteering Information / Quid Pro Quo)
    • 見返りを期待して情報を提供すること
    • 例:「当社の赤外線センサーは、その距離では80%の正確性しか保障できません。御社のはそれより優れていますか?」
  • 単語の繰り返し(Word Repetition)
    • 重要な単語や概念を繰り返し、より詳細な情報を提供させようとすること。

誘導質問を避けるためには

どんな情報が共有すべきではないか理解し、そのような情報を収集している人を疑うことが重要です。その情報を知るべき立場でない人には、いかなる情報を伝えてもいけません。また、守るべき情報はあなた自身、家族、同僚に関する情報までもが含まれます。

以下の方法を使うことにより、丁寧か形で誘導質問を回避することができます。

  • 公開情報を参照するように伝える
  • 不適切だと思う質問やコメントを無視し、話題を変える
  • 質問を別のものに摩り替える
  • 「なんでそんなことを聞くの?」と聞き返してみる。
  • 平凡な答えを返す
  • 「知らない」と伝える
  • 「しかるべき承認をもらわないと話すことができない」と伝える
  • 「その話題については議論できない」と伝える

もし誰かがあなたか情報を引き出そうとしているとわかったら、特に仕事に関連する場合、セキュリティ担当者に報告すべきです。

*1:アメリカ合衆国政府機関の著作物はパブリックドメインとして扱われるので翻訳して公開しても問題ないと判断しています。間違っていたら教えてください。