今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。
あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って別のサービスのターゲットのアカウントに侵入する…
国内ではあまりなじみがないかもしれませんが、米国などではたびたびこういったソーシャルエンジニアリングの事例が話題に上ります。以下、有名なものや最近のものをいくつか紹介しておきます。
Anonymousによる HBGaryへの侵入
- Anonymous speaks: the inside story of the HBGary hack | Ars Technica
- HBGary事件の顛末 - セキュリティは楽しいかね?
- GregとJussiのメールのやりとり (ソーシャルエンジニアリングってこうやるんだね!) - セキュリティは楽しいかね?
UGNaziによる CloudFlareへの侵入
- The Four Critical Security Flaws that Resulted in Last Friday's Hack
- CloudFlareの CEOが狙われた!その驚くべき手口とは? - セキュリティは楽しいかね?
Mat Honanさんの事例
- How Apple and Amazon Security Flaws Led to My Epic Hacking | WIRED
- あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題 « WIRED.jp
- GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗 - ITmedia ニュース
Naoki Hiroshimaさんの事例
- How I Lost My $50,000 Twitter Username — Medium
- 50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 - にぽたん研究所
- Rebuild: 37: N Factor Auth (Naoki Hiroshima)
Crackas with Attitude (CWA) による CIA長官のメールアカウント乗っ取りや米司法省への侵入
- Hacker Plans to Dump Alleged Details of 20,000 FBI, 9,000 DHS Employees | Motherboard
- Teen Who Hacked CIA Director’s Email Tells How He Did It | WIRED
- Teen says he hacked CIA director’s AOL account | New York Post
- 瀧口範子のシリコンバレー通信 - 米国政府機関で相次ぐハッカー攻撃、「ソーシャルエンジニアリング」に注意:ITpro
あとついでといってはアレですが、少し遅れて「雑談編 2月分」もあわせて公開されました。こちらも意外と真面目な話をしていたり、ハッシュタグでいただいた質問を取り上げたり、なかなか盛り沢山な内容になってます。ぜひご覧ください。
雑談編の中で辻さんと私が紹介しているサイトをのせておきます。
- WPScan Vulnerability Database
- twitterセキュリティネタまとめ | 自宅セキュリティ研究所の研究日誌(嘘)
- Twitterセキュリティクラスタ まとめのまとめ 連載インデックス - @IT -
- GRC | Security Now! Episode Archive
- Security Now | TWiT
また来週もお楽しみに!!
