■スティング
この映画はコンゲーム(詐欺)が主題です.ポール・ニューマンとロバート・レッドフォードが共演して大ヒットしました.
なお「sting」は「とどめを刺す」という意味らしいです.
映画では,冒頭から色々なパターンの詐欺が行われます.主人公に感情移入しやすいのは,主演の俳優の魅力もありますが,騙される側がギャングの親玉と悪徳警官でストーリーに仇討の要素が入っているためかと思います.
先年JALで,振込先変更の依頼の電子メールを受け取った担当者が,3億6千万円を詐欺師の口座に振込むという事件がありましたので,この映画をタイトルに使ってみました.
■ホエーリング
人間の心理や行動の隙をついて情報を盗み出す手口を「ソーシャル・エンジニアリング」といいます.その中でフィッシングという,ネットユーザーを狙って偽サイトに誘導する手口があります.
フィッシングは英語では"fishing"ではなく"phishing"と綴るらしいです.
またそのフィッシングのなかで「大物」を狙うのを「ホエーリング」といいます.鯨ですね.大物と言ってもCEOやCIOだけとは限りません.直接現金を扱う経理の担当者は,ターゲットにされやすいです.今回のJALの事件でも狙われたのは経理担当者でした.
映画で狙われるのはギャングのボスです.鯨の中の鯨かも知れませんが,失敗すると自分の命に係わります.
映画の終盤では「偽サイト」ではなくて,大掛りな「偽賭博場」が作られています.ボスは裏情報で1着になると知らされた馬に大金を賭けます.そこに裏情報を提供した本人(実は詐欺師の仲間)が現れて,1着じゃなくて2着だと…あとは映画をご覧ください.
この大掛かりな詐欺は元手が結構掛かるだろうなと思いましたが,ネット上で偽サイトを作るのは簡単です.JALでも差出人のメールアドレス位は確認したでしょうが,メールアドレスも偽装が可能ですし,サイトを確認する場合でも,メールに書いてあるURLをクリックしてサイトを確認すれば偽サイトに誘導されるだけになります.
■再発防止策
こういった事件があると再発防止策として「チェック体制を厳しくする」ということが一般に言われますが,これは「諸刃の剣」になることが多いです.
最初のうちは工数をかけて確認することで確かに効果があると思いますが,単にチェックの階層が増えて,直ぐに形骸化してしまうという悪循環に陥ることが多いように思います.
同じようなチェックを何階層も重ねると工数ばかり増えてしまいますし,チェックする方も同じような確認作業が続けば集中力が続きません.抜け漏れが起きて,またトラブルに繋がります.
事前にメールアドレスの変更と,URLの変更をなりすましメールで知らせておく手もあります.これが上手くいくようであれば,その組織は騙しやすいと判断してターゲットにされるかも知れません.
もし騙しやすいと判断されたら,今度は「騙されたふり作戦」の被害にあうかもしれません.犯人は警察を名乗って連絡して「受け取りに出てきたところを逮捕するから協力してくれ」と依頼します.協力すると,現金を用意させられて…そのまま持っていかれます.
■レイヤーとティア
ネットワークの概念にISOのOSI 7階層モデルというのがあります.
第7層 - アプリケーション層
第6層 - プレゼンテーション層
第5層 - セッション層
第4層 - トランスポート層
第3層 - ネットワーク層
第2層 - データリンク層
第1層 - 物理層
概ね,第4層以上は区別していませんが,分かりやすい参照モデルです.
また,システムの方式でMVCの3階層モデルというのもあります.
Model - ビジネスモデルを提供します.
View - ユーザーインタフェースを提供します.
Controller - ビジネスロジックを提供します.
ネットワークの階層はレイヤー(Layer)と呼び,システム方式の階層はティア(Tier)と呼びます.EXCELで言えば行と列に相当します.感覚的に言えば,レイヤーは重合せで処理しますが,ティアは縦並びで処理という感じです.
■構造的防御を考える
時々,偉い方の鶴の一声で執務室に監視カメラが入ることがあります.しかし監視カメラは人間系が24時間監視して,何かあった場合に緊急出動する体制をとらない限り抑止効果はあまり高くないように思います.
侵入して情報や金銭を盗んで「逃げる」ことを考えている犯罪者は,覆面くらい用意しますし,覆面を買う金額と比べれば,監視カメラの費用は莫大です.また監視カメラでは,執務時間中の情報のコピーの監視は困難です.秘密情報を管理しているサーバーに操作ログ管理ツールを導入した方が効果的だと思います.
実際に情報漏洩やランサムウェアによる金銭的被害が起きる場合には,不用意にメールに書いてあるリンクをクリックしたりする何らかの人間系のミスが介在します.
そこで,先程のレイヤーとティアを組合わせたセキュリティを考えてみるのは如何でしょうか ?
例えば,レイヤーとして,
第4層 - 人間的セキュリティ
第3層 - 環境的セキュリティ
第2層 - ネットワーク的セキュリティ
第1層 - 物理的セキュリティ
を考えます.
ティアの階層としては,
人間系対策
ビジネスロジック系対策
ビジネスモデル系対策
を考えます.
これで4レイヤ×3ティアの12のボックスが作れます.
例えば,物理的セキュリティ×ビジネスモデル系対策層であれば,入退室管理があげられます.しかし,単にICカードが無いと入室できないレベルであれば,カードを紛失した際のオペレーションをどうするのか,来客時にはどうするのか等が問題になります.その入退室管理の運営方法は,物理的セキュリティ×ビジネスロジック系対策層で決めていきます.そして,実際のカードの管理者は物理的セキュリティ×人間系対策層で決めていくというようなデザインを行います.
こうすることで,MECE(漏れなく重複なく)にセキュリティ対策を取れるようになります.
ISMSにはセキュリティ要求事項が網羅的に書かれていますので,それらを参考にして,自分の組織で取り得る対策をこのボックスにマッピングしてみるのも,一つの方法です.費用対効果が高いと思われる対策から,順次導入して行けば良いと思います.
■終わりに
セキュリティには,いくらでも費用をかけることができます.
例えば,リモートワークのセキュリティ確保には手間もかかります.セキュリティを上げることが,効率の低下や流行りの働き方改革の妨げになることもあります.例に挙げた監視カメラでも,録画を保存するサーバーが誰でも触れるようでは,セキュリティになりません.そうなると,サーバールームを新設して…切りがなくなります.
IPAでは「SECURITY ACTION」という制度を始めています.ISMSの認証を取得するという手もありますが,中小企業には結構荷が重いと感じます.自社のセキュリティを考える上で,こういった考え方もあるという一つのご提案でした.
最後に…人間的セキュリティ×人間系対策の「教育」が一番大事ですね.
参考資料
1) 「スティング」 DVD
2) IPA SECURITY ACTIONとは ?
https://www.ipa.go.jp/security/security-action/sa/index.html
------------------------------
■執筆者プロフィール
上原 守
ITC,CISA,CISM,ISMS審査員補
IPA プロジェクトマネージャ,システム監査技術者 他
エンドユーザ,ユーザのシステム部門,ソフトハウスでの経験を活
コメントをお書きください