loader gif

“テストで用いられた架空の女性の名前は「Emily Williams」。当該機関の近くにあり、職員の多くが利用しているレストラン「フーターズ」のウエイトレスの写真を、本人の同意を得た上で「Emily…”

テストで用いられた架空の女性の名前は「Emily Williams」。当該機関の近くにあり、職員の多くが利用しているレストラン「フーターズ」のウエイトレスの写真を、本人の同意を得た上で「Emily Williams」の写真として使っていたそうですが、誰も気付かなかったそうです。

 今回のテストでは、単にFacebookやLinkedInに架空のアカウントを用意しただけでなく、インターネット上で検索しても矛盾がないように、周到に「彼女」のプロフィールを用意しています。例えばMITの卒業生であるなど、当該機関の職員として相応しい経歴を設定し、他のウェブサイトやMIT関連の掲示板などにも情報を掲載しました。その一方で「大卒の28歳で10年の経験がある」という不自然さを残していたにもかかわらず、その点から今回の「嘘」がバレることはなかったようです。

 こうして周到に準備して作り上げた「彼女」をソーシャルメディア上に「誕生」させてから、わずか15時間で、対象機関の職員および下請け業者60名のFacebookアカウント、55名のLinkedInアカウントとつながりを持つことができ、また最初の24時間で仕事をオファーしてきた企業が3つもあったのだそうです。

 今回のテストは90日間に渡って行われましたが、Lakhani氏らの目的は、最初の1週間で達成できてしまい、残りの期間は「いつまで続けられるか」だけだったようです。

 こうして「彼女」は、技術的な手法は全く使わずに、対象機関のVPNアカウントを手に入れるなどして内部ネットワークに入れるアクセス権限を得ただけでなく、ノートパソコンまで手に入れることができたのです。しかし、Lakhani氏らは別の方法で侵入を試みました。

 今回のテスト期間中には感謝祭、クリスマス、大晦日といった大きなイベントがあったため、それに便乗して「彼女」から送られたソーシャルメディア上のメッセージを介したマルウェア感染により、ソーシャルメディアで繋がっている職員らの業務用PCに侵入しました。罠にかかった中には下請け業者もあり、しかもアンチウイルスベンダーの社員もいたそうです。

【海の向こうの“セキュリティ”】 第87回:架空の新人「女性」職員を使った侵入テスト、成功率100% ほか – INTERNET Watch (via otsune)

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください