見落としがちな重大なサイバーセキュリティー・リスク:オフィス編
全員のメール・アカウントにも最新かつ最高のスパム・フィルターが備わっているとします。会社支給のすべてのデバイスにEDR(エンドポイントの検知と対応)ツールが搭載されています。侵入検知および防止システムがネットワークゲートを保護し、不審なパケットにはすべて「停止!」と叫びます。
システムは完全にロックダウンされていて、ハッカーは侵入していません。
オフィスビルの玄関ドアは—また別の話です。攻撃者はやすやすと玄関ドアに侵入できるでしょう。
本当です。経験から知っています私は実際に侵入しています。
ピープル・ハッカー主任としての最も楽しいことの一つは、物理的セキュリティー評価を行うことです。基本的には、許可を得て顧客の建物に侵入し、物理的防御の欠陥を特定します。
建物に侵入すれば、大きなダメージを与えることができます。休憩室で放置されたノートPCがあったとしたら?盗みます。そのノートPCは今や私のものであり、所有者がアクセスできるすべてのドキュメントにアクセスできます。誰もいない、鍵のかからないオフィスの机の上に置かれている機密ファイルも私のものです。
私たちのほとんどは、サイバーセキュリティーは純粋にデジタルの問題であると考えています。それは理にかなったことです。「サイバー」という名前はその名の通りです。しかし、サイバー攻撃は実際には物理的な世界から始まる可能性があります。ただし、それは(少なくとも今のところは)攻撃を仕掛けてくる知覚力のあるロボットのことではありません。
建物から直接コンピューター・システムに侵入できる悪意のある部外者、さらには悪意のあるインサイダーのことです。侵入者は建物の中にいるのです!
従業員をオフィスに戻す組織が増えるにつれ、こうした物理的な攻撃はより一般的となり、より成功する可能性があります。何年もリモートで仕事をしていると、オフィスの安全確保に関して、私たちの多くは錆びついてしまっています。
ここでは、物理的なサイバーセキュリティー・リスクと、組織が反撃するために何ができるかを見てみましょう。
The DX Leaders
「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。
物理的な侵入はさまざまな形で発生する可能性がありますが、経験から言うと、そのような侵入は主に次の3つの段階で発生します。
- 第1段階:情報の収集
- 第2段階:侵入
- 第3段階:攻撃の実行
これらの段階を紐解いていきましょう。
IBM X-Forceによる物理的評価の最初の段階は、ターゲットに関する情報を収集することです。もちろん、私たちが顧客にそのような情報を尋ねることはありません。というのも、その必要がないからです。従業員の日常生活の様子を見るだけで、その企業について知ることができるのは驚くべきことです。
たとえば、会社のInstagramアカウントにアクセスして、従業員の写真を探す場合があります。従業員は制服を着ているのか?服装規定はあるのか?私はこのような情報を使ってオフィスの中に入り込むことができるのです(あなたはオフィスのホリデー・パーティの写真など誰も見ていないと思っていた—いえ、願っていたのかもしれませんが)。
本当に運に恵まれれば、従業員バッジを垣間見ることができるので、説得力のある偽物を作ることができます。ドアの中には入れませんが、キャンパス内を歩き回るときにはプレッシャーが和らぐでしょう。
おそらく貴社のWebサイトにはベンダーのリストがあると思います。それなら事務用品の配達員になりすますことができます。
あなたの建物に向かい、少し張り込みをします。従業員はどのドアを使用しているのか?一般用の個別の入り口はあるか?警備員はいるのか、どこに配置されているのか?
一見些細なことでも、不利になるものとして利用されることがあります。例えば、あなたの家のごみ収集スケジュールを知るかもしれません。奇妙な話なのは分かっていますが、ここで私をフォローしてください。ごみの収集日が水曜日の場合、私は火曜日の夜に立ち寄ります。ごみがいっぱいなのが分かっているからです。つまり、付箋にメモされたネットワーク・パスワードや、誰かがシュレッダーにかける手間を省いた機密メモを見つける可能性が十分にあるということです。
(今、あなたからどう見られているのかは承知しています。画面を通してそれを感じることができます。私は仕事のこの部分を楽しんでいるわけではありませんですから、機密文書を細断してもらえると、とても助かります。本当です)!
顧客の建物に侵入するためにジェームズ・ボンドのような本格的な策略を立てていると言いたいところですが、実際には通常、他のみんなと一緒に正面玄関を通り抜けます。これは「共連れ」と呼ばれる攻撃方法です。
共連れとは、悪意のある人物が許可を得た人物の後に続いて安全なエリアに入ることです。オフィスビルのことを考えてみましょう。従業員は、ドアを開けるために何らかのバッジや方法が必要になることがよくあります。攻撃者がそれを持っていないことは明らかです。どうすればいいのかというと、従業員のすぐ後ろに並びます。彼らはバッジを付けて中に入るときに、ドアを押さたままにしてくれるし、そうでなくてもドアが閉まる前にドアをさっと押さえればいいのです。
結果的に、共連れは大成功です。人は礼儀正しいのです。あなたがその場にふさわしくないとわかっていても、ほとんどの人は何も言おうとしません。気まずいからです。そしてソーシャル・エンジニアリングはまさにこの種の人間的な反応を頼りにしています。
だからといって、犯罪者が昔ながらの方法で建物に侵入しないというわけではありません。実際にはその必要がないというだけです
中に入ったら、たぶん何かを盗むことになるでしょうね(まあ、何かを盗むふりをします)。機密文書や機器が放置されているのは格好の標的ですが、それだけではありません。従業員バッジやビルの鍵一式をスワイプしてアクセスをさらに広げ、退去しなければならなくなったら戻ってくることもできます。
会社のデバイスを手に入れることができれば、会社のネットワークにアクセスできます。デバイスの所有者になりすまして、そのアカウントからフィッシングメールを送信できます。会社のディレクトリーに悪意のあるファイルを埋め込むことができます。
もう1つ楽しいことは、マルウェア( 偽のマルウェアです)が入ったUSBドライブを建物の周りに落としてもいいでしょう。
人々は面白いものです。見知らぬUSBドライブを見ると、それを接続して、その中に何があるか確認したいという衝動にかられるものです。おそらく彼らは、所有者の身元を探している優しい人なのでしょう。もしかしたら、ただおせっかいなだけなのかもしれません。いずれにせよ、彼らは問題に直面しています。その USBドライブは、キーロガーやランサムウェアなどの悪質なものを密かに感染させます。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
どのような物理的評価においても、私は通常、誰かが私を止めてくれるまでにどれくらいの時間がかかるかを確認します。
ある評価のとき、私が建物に入ってきたことに従業員に気づかれたにもかかわらず、警備員が私を探し始めるまで4時間もかかったのを覚えています(それでも、見つかる前にこっそり抜け出せました!)。
何が言いたいのかというと、私たちの物理的なセキュリティ慣行はしばしばかなりお粗末だということです。代わりに次のことをすべきです。
思い込みを再考する
私たちは皆、思い込みによってどのような事態になるか知っていますよね?
思い込みは悪意のある行為者の仕事をずっと楽にします。
物理的なセキュリティについて人が犯す最大の過ち、適切な保護がすべて実施されていると思い込んでいることです。単純なことです。たとえば、皆「自動ロックドア」が実際に自動的にロックされると思い込んでいます。あるいは、人々がシュレッダーを使用していると。あるいは、従業員はホールにいる見知らぬ人を止めて、何をしているのか尋ねると。
そして中に入ってみると、実際にはそのドアロックは長い間故障しているというわけです。人々は機密文書を通常のゴミ箱に捨てます。ホールで見知らぬ人を見ても、「私には関係ない!」と思います。
このような小さな失敗が積み重なって、攻撃者は目立たないところで高度な攻撃を実行することができます(前の投稿をご覧ください。警備員が私を探してすぐ後ろに立っていたときに、私が受付係を騙して未確認のフラッシュドライブを彼女のコンピューターに接続させています)。
組織には、何も思い込まないことをお勧めします。ドアがロックされていることを確認してください。バッジスワイプの小さな赤いライトを信用せずに、引いてみてください。シュレッダーにかけることを人々に教えてください。知らない人に遭遇したときは、恐れずにその人の行動を尋ねてください(それも礼儀正しく行うことができます。「訪問者バッジをお持ちでないですね。警備室にお連れしましょう。そうしないと、何度も止められてしまいますよ!」)。
より優れた物理的セキュリティー研修を提供
サイバーセキュリティー研修では、物理的セキュリティーの実践に多くの時間を費やす必要があります。最も一般的な攻撃経路ではないかもしれませんが、多くの組織では防御における大きな穴になります。
平均的なサイバーセキュリティ研修について考えてみましょう。物理的セキュリティーについて何か書いてあるとしても、それはたいてい、「会社のノートPCを盗まれないように」以上の深い内容ではありません。
物理的セキュリティーは、他のトピックと同様に深く扱う必要があります。たとえば、研修では、文法の誤りや緊急の要求など、フィッシング・メッセージの危険信号を扱うことがよくあります。バッジのない訪問者や同伴者なしで歩き回るなど、オフィスの訪問者の危険信号を見つけるように人々に教えてはいかがでしょうか?
指示が明確であるほど効果的です。たとえば、共連れについて考えてみましょう。見知らぬ人を建物に入れないように言うだけでは、現実世界で共連れをする人に対応する十分な能力が身につくわけではありません。
それよりも、見知らぬ人を見つけたときのプロセスを正確に知る必要があります。通常は「誰に会うためにいらっしゃったのですか?チェックインできるように、警備室にご案内しましょう」と声をかけるだけでいいのです。本物の訪問者だったら、助けに感謝するでしょう。攻撃者を相手にしている場合、攻撃者は発見されればおそらくミッションを中止するでしょう。
思い込みを考え直すという話を忘れないでください。物理的セキュリティー研修で取り上げることに些末なことなどありません。機密データやデバイスをロックするよう人々に伝えてください。細断された紙のゴミ箱の存在を認識させてください。正体不明のUSBドライブの危険性を人々の頭に叩き込みます。
物理的セキュリティーを奨励するためのスペースを設定する
従業員が物理的なセキュリティー・ポリシー、プロセス、ベスト・プラクティスをできるだけ簡単に遵守できるように、必要なリソースをすぐに使えるようにします。
たとえば、セキュリティー担当者全員の連絡先の電話番号と所在地を、すべてのデスクとすべてのデバイスに用意することをお勧めします。そうすれば、何かが起こったときに、誰に報告すればよいかがすぐにわかります。訪問者を物理的に警備室まで簡単に連れて行けるように、物理的な警備デスクの配置を検討してください。
また、個人用ロッカー、施錠可能なファイル・キャビネット、各デスクのコンピューター・ロックなど、従業員が自分のデバイスや書類を安全に保管できる手段を用意しておくこと。
サイバー攻撃はオンラインでのみ発生するため、デジタル防御だけに頼ることはできません。
ここで得られる大きな教訓が1つあるとすれば、こういうことです。つまり、物理的セキュリティーにおいては、細部が全体像と同じくらい、あるいはそれ以上に重要であるということです。
もちろん、包括的な物理的セキュリティー戦略が必要であり、それは包括的なサイバーセキュリティー戦略につながります。しかし、組織が物理的な攻撃にさらされるのは、必ずしも戦略的思考が欠如しているからとは限りません。多くの場合、それは実用性の問題です。人々は物理的な脅威に対して何をすべきかを正確に理解しており、それを実行する権限を与えられているのでしょうか?
自分の思い込みを再考し、より良い研修に投資し、人々に適切なリソースを提供することで、多くの攻撃を阻止することができます。私の仕事はしにくくなるかもしれませんが、世界はより安全になるでしょう。
ですから、多分トレードオフする価値はあります。