« 要求仕様戦争(その1) | トップページ | 要求仕様戦争(その2) »

USBメモリを用いたソーシャル・エンジニアリング

 ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。

 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。

 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか?

 で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、しばらく待たなきゃいけないんだろ。砂時計が矢印になったのを確認して、開けてみる… なんだ、何にも入ってないじゃないか、変なの。え? いや、オレだって知ってるよ、社内通達で、「不審なファイルは開けちゃダメ」って、ほら、".exe" とかいうのがヤバいんだろ? 大丈夫、フォルダを開けるだけなら問題ないはず…

 …こんな奴ぁいねぇ、と誰も断言できない。やる奴はいる、必ず。社内のセキュリティシステムを突破して、直接ファイアウォール内のPCへ『配達』してくれるのだから笑いが止まらない。たった一人でOKなんだ。

 グッチやシャネルといった有名ブランドのUSBメモリなんていかが? パチモノで充分。ディズニーキャラクターをプリントしてもいい。女の子が「欲しい」と思った時点でトロイの木馬が成功。あるいは『2GB』とプリントするのなんてどう? ギガバイト級の情報を持ち歩くなんて、いったいどんな情報なんだろう? 興味津々好奇心はネコを殺す。

 信じたいあなたに実例をどうぞ→"Social Engineering, the USB Way"[参照]。これはセキュリティのコンサルタント会社が擬似的にアタックをかけた例なのだが、受付係のキャンディ皿に蒔けというのは、なかなか気が利いている。

 良い子はマネしちゃいけません。そして、"そういう立場の人"は対策を考えておくこと。そのうち出てくるか、見つかってないだけで既にいるのかも

|

« 要求仕様戦争(その1) | トップページ | 要求仕様戦争(その2) »

コメント

こんばんは。

http://japanese.engadget.com/2006/06/22/usb-immersion-hood/

これでショルダーハック対策はばっちりだってばっちゃが言ってた!
技術の進歩って恐ろしいですね!

投稿: jackal | 2006.06.27 01:56

ああ~これっすね!
最初見たときは罰ゲームかと思いました…しかし暑そう

投稿: Dain | 2006.06.27 23:49

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18285/10664141

この記事へのトラックバック一覧です: USBメモリを用いたソーシャル・エンジニアリング:

» セキュリティ意識 [iは小文字で・・・]
現実に十分あり得る、このような攻撃が行われた場合、うちの会社は被害に会わないだろ [続きを読む]

受信: 2006.07.04 13:06

» 米国防総省も認めたスパイウェア対策 [米国防総省も認めたスパイウェア対策]
今、セキュリティで大切なことしってますか? ウイルス対策よりも、スパイウエア対策です。 スパイが入った後にウイルスが入ってくるという事を知ってください ウイルスの対策になにを使ってもいいです。 その手始めのスパイウエア対策だけはちゃんとした物で固めると パソコンは万全な体制になります 米国防総省も認めた スパイウェア対策の決定版!! 社会問題になっているスパイウェア * スパイウェア... [続きを読む]

受信: 2006.07.04 13:32

» [security]USBメモリを用いたソーシャル・エンジニアリング [駄犬日誌]
USBメモリを用いたソーシャル・エンジニアリング わたしが知らないスゴ本は、きっとあなたが読んでいる: USBメモリを用いたソーシャル・エンジニアリング  オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなん... [続きを読む]

受信: 2006.10.25 19:51

« 要求仕様戦争(その1) | トップページ | 要求仕様戦争(その2) »