セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

DEF CON 24 Social-Engineer Villageで講演してきた!!

2017/01/17 スライドをアップロードしました。

2ヶ月以上前の話ですが、DEFCON 24のThe Social-Engineer Villageにて講演する機会をいただだき、"Does Cultural Differences Become a Barrier for Social Engineering?"というテーマで講演を行ってきましたので、その様子をまとめてみたいと思います。

SE Villageの様子は、公式ブログにもまとめられています。

www.social-engineer.org

SlideShareの問題も改善したのでスライドもアップしておきます。(英語のミスは無視するようにお願いします。)

www.slideshare.net

講演概要

現在、米国の会社にて研修生としてお世話になっていますが、日本と違い、米国ではソーシャル・エンジニアリング攻撃が非常に一般的です。所属するセキュリティ・チームもよくその対応に追われています。

標的型攻撃が流行した直後、日本は「2バイトの壁」に守られているといわれましたが、文化の差異(Culture Difference)もソーシャル・エンジニアリングの攻撃の成功可否に影響するのだろうかという疑問を持ち、自分なりの考えをまとめて講演を行いました。

ただ、個人的にはどちらの文化が良い・悪いという議論をするつもりはなく、文化による防御(Culture Defense)が成立するのであれば、それに基づいて組織デザイン・組織文化形成をしていけばソーシャル・エンジニアリングの重要な防御になるのではと考えたことがきっかけです。今回の講演では、結論を出すことを目的とはしておらず、参加者にそのことを考えてもらえるきっかけになればと思い、講演をしてきました。

そもそも論:文化の定義は?文化の差異の測定方法は?

議論のはじめとして、「そもそも文化って何よ?」という話になるのですが、Wikipediaに乗っていたE.B. Tylorの定義を参考にしています。

that complex whole which includes knowledge, belief, art, morals, law, custom and any other capabilities and habits acquired by man as a member of society

その上で、文化差を測るための指標として、ホフステッドの6次元文化モデルを利用して議論しました。これは、ホフステッド指数とも呼ばれるもので、全世界に展開しているIBM社員にアンケート調査を行い統合的な分析を行い、文化差異を示す6つの指標を提唱した研究です。IBMは共通した企業文化を持つため、もしアンケートに差異があるのであれば、それは国民性(国ごとの文化)によるものだろうとホフステッドは考えこの研究にいたったという経緯があります。

今回は日米文化の差異に焦点を当てたため、ホフステッド指数の公開データを使い、差異を分析しました。

f:id:security_consultant:20161030210921p:plain

取り上げた3種類のソーシャル・エンジニアリング手法

その上で3種類のソーシャル・エンジニアリング手法を取り上げ、文化が攻撃を阻止できるのではと議論を行いました。

OSINT:Open Source Intelligence

OSINTとは、ソーシャル・メディアなど公開情報を利用して攻撃対象者の情報を調査する手法です。総務省が発行している「情報通信白書」の平成26年版(2014年度版)が、ソーシャルメディアに対するリスクについて、国別比較(日本・アメリカ・イギリス・フランス・韓国・シンガポール)の面白い統計情報を出しており、それに基づきソーシャルメディアへの情報公開の許容度とOSINTの応用について議論を行いました。

f:id:security_consultant:20161030212047p:plain

Tailgating

Tailgatingとは、人の後について行ったり、Pretexting(なりすまし)を行い物理的に制限された領域に入り込む方法です。よく言われる方法として、FedEx担当者の服装で内部を動き回ると、誰にも怪しまれることなく様々な場所にアクセスできてしまうなどの手口が知られています。

米国の仕事環境だとキュービクルと呼ばれる机で仕事をしており、ほとんど個室のような状態となります。そのため、仕事をする上ではこれほど集中できる環境はないのですが、その一方、他人が何をしているかなどがわかりづらくなります。

一方、日本の机はフラットな長机です。正直私は仕事に集中しづらいのであまりこの環境があまりすきではないですが、周りの様子を知りやすい環境にあります。そういう意味では、物理的セキュリティを破られた場合でも隠れる場所も少なく、非常に目立つのではないかと考えられます。

Vishing

Vishing(Voice Phishing)とは、電話を利用したフィッシング攻撃のことです。これも日本固有の新人が電話を取る固有の文化、意思決定のプロセスの違いなどの文化差異が攻撃を防ぐのに有効なのではという議論を行いました。

その他

最後に、日本の「振り込め詐欺」についても少し触れています。私の知る限り、「振り込め詐欺」は日本固有でかなり進化しているもので、その様子についてソーシャル・エンジニアリングの観点から議論を行いました。

まとめ

今回、運よくSocial Engineer Villageにて講演をさせていただく機会をもらいましたが、日米の文化差異やソーシャル・エンジニアリングについてさらに勉強する非常に良い機会となりました。また面白いテーマがあれば、CFPを出してみたいと思います。