叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

怪人のソーシャルエンジニアリング

子どもの頃、学校の図書室に「怪人二十面相」や「怪盗ルパン」があり、夢中になって読んだものです。

 そのころ、東京中の町という町、家という家では、ふたり以上の人が顔をあわせさえすれば、まるでお天気のあいさつでもするように、怪人「二十面相」のうわさをしていました。

「二十面相」というのは、毎日毎日、新聞記事をにぎわしている、ふしぎな盗賊とうぞくのあだ名です。その賊は二十のまったくちがった顔を持っているといわれていました。つまり、変装へんそうがとびきりじょうずなのです。

 どんなに明るい場所で、どんなに近よってながめても、少しも変装とはわからない、まるでちがった人に見えるのだそうです。老人にも若者にも、富豪ふごうにも乞食こじきにも、学者にも無頼漢ぶらいかんにも、いや、女にさえも、まったくその人になりきってしまうことができるといいます。

 では、その賊のほんとうの年はいくつで、どんな顔をしているのかというと、それは、だれひとり見たことがありません。二十種もの顔を持っているけれど、そのうちの、どれがほんとうの顔なのだか、だれも知らない。いや、賊自身でも、ほんとうの顔をわすれてしまっているのかもしれません。それほど、たえずちがった顔、ちがった姿で、人の前にあらわれるのです。

 そういう変装の天才みたいな賊だものですから、警察でもこまってしまいました。いったい、どの顔を目あてに捜索したらいいのか、まるで見当がつかないからです。

 ただ、せめてものしあわせは、この盗賊は、宝石だとか、美術品だとか、美しくてめずらしくて、ひじょうに高価な品物をぬすむばかりで、現金にはあまり興味を持たないようですし、それに、人を傷つけたり殺したりする、ざんこくなふるまいは、一度もしたことがありません。血がきらいなのです。
~「怪人二十面相(江戸川乱歩)」

「怪人二十面相」に代表される怪盗モノや、映画「007シリーズ」に象徴されるスパイモノは、人間の心理的な隙や信頼を利用して、機密情報を取得します。サイバー攻撃のような技術的なハッキングとは異なり、主に人間をターゲットにした詐欺的な行為です。

情報セキュリティでは、人間の心理的な隙や信頼を利用して、組織の機密情報を盗む手法は「ソーシャルエンジニアリング」として、紹介されます。

子どもの頃、ワクワクしながら読み漁ったスパイものは「ソーシャルエンジニアリング」の学習でもあったのです。

サイバー攻撃が本格化したのは、2000年以降です。それまでの時代は、情報セキュリティインシデントといえば、ソーシャルエンジニアリングだったんだと思います。

ソーシャルエンジニアリングの手法を使った機密情報の搾取として、そこに日本企業が深く関わったことで歴史に残るのが1982年の「IBM対日立スパイ事件」です。

この事件は、日立製作所と三菱電機の社員がIBMの機密情報を不正に取得し、アメリカで逮捕されました。不正に取得した情報はIBMのメインフレームコンピュータに関する設計図や、プログラムコードなどの技術的な内容です。

情報入手の方法は、IBMの元社員が自分の会社の機密情報を他社に提供するという形です。元社員との信頼関係を構築し、金銭的なインセンティブを利用しています。

この事件は社会的な話題となり、直木賞作家、三好 徹の「白昼の迷路」では、この事件をモチーフした小説があります。

当時はソーシャルエンジニアリングという言葉自体があったのか、分かりませんが、これは典型的なソーシャルエンジニアリングだと思います。

いっぽう、機密情報の提供者がIBMの元社員ということを考えると「内部不正」として、捉えることもできます。

内部不正は、組織の内部にいる従業員や関係者が、その地位や権限を悪用して組織に損害を与える行為を指します。

機密情報へのアクセスは組織の限られた人しかできません。まして、外部の人間が情報にアクセスするのは困難です。しかし、社員という立場であれば、普通にアクセスできる情報かもしれません。内部で不正に取得し、外部に機密情報を提供するのは、内部不正の典型でもあります。

内部不正が行われる条件は「機会」「動機」「正当化」の3つの要因がそろった時に発生するという理論があります。これは「不正のトライアングル」と呼ばれます。裏を返せば、3つの要因のどれかひとつでも欠けると、不正行為にはつながらないともいえます。

不正のトライアングル

「動機」はプレッシャーとの関係が深く、不正を犯す必要性を指しています。たとえば、多額の借金を抱えたので、必要に迫られて不正行為を働いてお金を得ようとする心です。

「機会」は不正が発生する可能性のある状況を指しています。たとえば、金になりそうな設計図が簡単に手に届くところにあれば、それをライバル会社に渡してお金を得ようとする心です。

「正当化」は不正行為をを良しとする志向を指しています。たとえば、長年、忠誠心を尽くして働いた会社から突然、「首」を宣告されたらどうでしょう!?機密情報を持ち出すことに対する罪悪感は、薄れてしまうでしょう。

「ソーシャルエンジニアリグ」や「内部不正」への対策は、サイバー攻撃のような技術的対策で回避するのはなく、人的な対策が必要です。

一般的に情報セキュリティの人的な対策は、「情報セキュリティ教育を受講する」とか「誓約書に署名する」ということが言われてます。

ただ、本質的な対策は、表面的な研修や、文書への署名よりも、社員同士や上司と部下がコミニュケーションを取りながら、相手の性格や思考をよく知ろうとすることだと思います。

でも、日本企業が長く築いた「終身雇用」は崩壊しました。仕事の役割だけでつながる「ジョブ型雇用」に移行してます。

情報セキュリティの視点にたつと「ジョブ型雇用」で希薄となった、社員同士の関係性は、脅威だと思います。