マイページ
形だけの「セキュリティ対策」は弱い
ソーシャル・エンジニアリングについて、ウィキペディアの英語版と日本語版の解説を読み比べると、日本の認識の遅れがわかるだろう。日本語版の記述はわずか約1500文字に過ぎないが、英語版の記述をGoogle翻訳で日本語に訳すと約1万9000字にも及ぶ。日本人の持つ知識が話にならないレベルであることを実感できるはずだ。
ここで、日本を代表する企業の実例を紹介しておきたい。個別企業の問題を具体的に述べることはできないが、A社、B社……Z社と私が担当したケースについて抽出し、架空のX社とZ社のケースとして説明する。
巨大電力会社X社の中央コンピュータセンターは、私のチーム(アメリカのハッカー出身の専門家)によって、わずか45秒で乗っ取られてしまった。原因は、コンピュータセンター側が形だけの「セキュリティ対策」でお茶を濁していたからである。
X社の問題は、私のチームにチェックを依頼するかどうかを役員会に諮った際に露呈した。コンピュータセンター側は「日本のセキュリティ会社に侵入テストを依頼した結果、問題ないと確認したので、さらなるチェックは不要」と拒んだのだ。役員会の大勢もその主張に同意する流れとなった。
流れを変えたのは、実力者の会長の一言だった。
「小川さんのチームに頼んで、それで大丈夫だということになれば、万全だ。穴が見つかれば、それも喜ばしいことで、問題を解決すればセキュリティのレベルは上がる。やってもらおう」
乗っ取りに要した時間はわずか45秒
このような経緯を経て、私のチームはチェックを行うことになったが、驚かされたのはコンピュータセンター側の態度だった。まるで手のひらを返すように、「侵入するポートを教えてほしい」と泣きついてきたのである。「それでは侵入テストにならないではないか」と言うと、「日本の業者とは、いつもそれでやってきた」と言う。
これは八百長のようなものだが、こちらも仕事を進めなければならない。仕方なく、侵入するポートを4カ所教え、テストの期間は△△万回線(数字は特に秘す)のすべてについてネットへの接続をさせない、つまりスタンド・アローンの状態にするよう約束してもらった。
しかし、この約束も口先だけのものだった。複数(3桁)のコンピュータがネットに接続された状態で、私のチームはリモートアクセスで容易に侵入することができた。もちろん、コンピュータセンターでのオンサイトテストでは、あっという間に見知らぬアプリケーションが次々に立ち上がり、乗っ取られた状態になってしまった。それに要した時間はわずか45秒。
このときのアメリカの専門家は数年後、「最近の水準では、15秒で乗っ取られると思わなければならない」と警告した。
