全2116文字
PR

 「伝説のハッカー」「かつてFBI(米連邦捜査局)が最も恐れた男」などと呼ばれるケビン・ミトニック氏が2021年4月13日、オンラインで取材に応じた。ミトニック氏は現在、企業向けセキュリティー教育事業などを手がける米KnowBe4(ノウ・ビフォー)のチーフ・ハッキング・オフィサー(CHO)を務めている。

 「2021年は世界で新型コロナウイルスのパンデミックが継続するなかで、攻撃はさらに顕著なものになるだろう」。ミトニック氏はこう警告する。「会社よりセキュリティーの弱い自宅で人々が仕事をするため、世界中の企業や組織がサイバー攻撃に対するガードを下げることは明白だ」(ミトニック氏)。

米KnowBe4のチーフ・ハッキング・オフィサー、ケビン・ミトニック氏
米KnowBe4のチーフ・ハッキング・オフィサー、ケビン・ミトニック氏
(出所:KnowBe4)
[画像のクリックで拡大表示]

 そんな中で新たなタイプの攻撃が次々と現れている。例えばここ2~3週間で話題になっているのは米国のグループによる実験で、携帯電話で受信するテキストメッセージの宛先を変更するというものだ。2段階認証を使う際、携帯電話のテキストメッセージ機能でコードを受信するケースが多い。攻撃者はそのコードを横取りする。ただし「これは本当の攻撃ではなく模擬的な攻撃である。とはいえ、セキュリティーの世界は非常にダイナミックなので、脅威や攻撃者の種類は毎週のように変わっていると言っても過言ではない」(ミトニック氏)。

85%の成功率で企業のネットワークに不正侵入

 ミトニック氏は防御する側の「ゆるさ」も指摘する。企業側がしっかりとシステムや端末の設定をしていないために、どこからでも侵入されてしまう状態になっているケースもある。

 また社員のメールアカウントなどに「パスワードスプレー攻撃」を仕掛けられるケースもある。複数の社員に対して同じパスワードでログインを試行する手法だ。多くの企業が同じアカウントに対して複数回ログインが失敗すると、アカウントがロックされる仕組みを採っている。しかし、「welcome2021」のようによくあるパスワードを全社員のアカウントに試すと、マッチするアカウントが出てくる。この手法で「自分たちの侵入テストによると、85%の成功率で企業のネットワークに不正侵入できてしまう」(ミトニック氏)。

 「脅威を緊密にモニターすべきだ」とミトニック氏は語る。ログを取り、それらをSIEM(セキュリティー情報イベント管理)に送り、アラートを鳴らす基準を設定する。ログを監視する人員が企業にいないために、攻撃を受けても気づかないケースもあるという。「インターネットに接続している限り、すべての産業にリスクがある」と警鐘を鳴らす。