中国サイバー攻撃|それ、本当に「巧妙化」な攻撃ですか

 中学生もできる「巧妙化」

 

f:id:alienware:20140723164824p:plain

図1 欺骗的艺术:詐欺の芸術:騙す。欺く。操る...ケビン・ミトニック著


A.「巧妙化」。。。
最近、標的メール攻撃について議論するたびに、「巧妙化」という言葉が目に付くようになりました。特に、今年はやり取り型標的メール攻撃が横行し、それはそれは大変大変「巧妙化」の一途をたどるらしい。

検索してみると、「巧妙化」という形容詞は2011年5月以来、標的メール攻撃の進化度合いを表すために、頻繁に使用されている模様。

「巧妙化」といわれる標的メール攻撃、その要素をいくつかまとめてみました。

・流ちょうな日本語を操る(標的と共通な言語を操る)
・標的との会話やり取りを面倒くさがらず、やり取りを行う
・標的に怪しまれないように、やり取り状況に応じて対応する

これらをフルに駆使し、あれよこれよと標的のメール受信者に、添付の怪しいファイル(ウイルス付き)をクリックし、実行&感染させ、攻撃を成功させるわけです。

B.ただの進化した「詐欺」じゃないのでは?
サイバーの世界で「巧妙化」、、と言われるとどうもすごい先進な技術を応用しているような錯覚が生まれるのは私だけでしょうか?しっくりこないので、生活レベルに落としてこの問題を、再考してみました。
「巧妙化」する標的メール攻撃も実は、単なる進化を続ける「詐欺のメール版」にすぎないのではないでしょうか?巧妙化をふんだんに応用すると、「巧妙化する電話オレオレ詐欺」、「巧妙化するATM振り込め詐欺」という新たな呼び名が現れてもいいのではないか、、と思った次第です。

実際は、サイバー以外ではまだあまり聞いておりません。


言いたいのは、「巧妙化」という表現で、この問題はより本質的な部分から、逆に遠ざかっているのではないか、ということです。

C.近隣の某大国では
視点を隣の大国に移してみましよう。某大国では、ソーシャル・エンジニアリングを使い、標的から情報を抜き取ることを「社工:社會工程」と言います。最近では動詞にもなってきておりまして、誰かを「社工」する、誰かに「社工」された、という表現がアンダーの世界で盛んにされるようになりました。これは「サイバー詐欺」と表現したほうが適切かもしれません。標的メール攻撃もまったく同性質なので、立派な同類/仲間ですね。

以下にひとつ、実例を紹介したいと思います。
上述「社工」(=サイバー詐欺)の要素・テクニックをフルに駆使して、狙っている情報を相手からだまし取っております。
そして驚くことに攻撃実施者は中学生(!)でありました。

そしてこの事例でも、ちゃんと上述「巧妙化」の要素をちゃんと、しっかり備えているのでした:
・非第一言語を自在に操る(広東語
・やり取り型会話を暇ない(やり取り型&巧みに一度に全部聞こうとしない
・状況に応じて臨機応変に対応(相手を信服させるための、事前ストリー建てシミュレーション

しかも、この14歳の中学生は、目的を達成した後に、自分がソーシャル・エンジニアリングを施した軌跡をレポートととして記録し、「中学最後の夏休みレポート」と題して、なんとウェブに公開しているのです。やっていること自身は詐欺であるので決して褒められることではありませんが、まじめに報告としてまとめ、後進の学習のためにキチンと残している姿勢には大変感銘??を受けました。

果たして、隣の大国の14歳中学生がやっている同等レベルのことを、「巧妙化」と称していいのか・・の気持ちを抑えつつ。。
閑話休題。彼が残したレポートにもとづいて、彼の「社工」もといソーシャル・エンジニアリング技法を見てみましょう。


D. 事例:近隣大国中学生の「社工」ソーシャルエンジニアリング攻撃

【背景】ある中学校三年生が、彼の最後の中学校生活思い出として、企画実施した「社工」攻撃
【攻撃者】中学3年男子生徒
【標的】同じクラスの美人女子生徒、攻撃者とはほとんど交流がない。男性関係は複雑で派手な模様。

【目標】標的のQQ(チャットアカウント)を奪取(乗っ取る)すること

 

QQアカウントを乗っ取るには、

1. パスワードそのものを窃取するか、

2.パスワードを忘れたと称して、パスワードリセット画面からリセットしてしまい、新しいパスワードを設定する

のどちらかを達成しなければなりません。実際実施のし易さから、攻撃者はパスワードをリセットし新たなパスワードを設定させてしまう手段を選択した。


まず彼は標的と付き合いのあるクラスメートから、標的のQQ番号を聞き出した。このステップは比較的容易である。

次に、彼はそのQQ番号でログインし、”パスワードを忘れた場合”をクリックし、パスワード紛失の際に、パスワードリセットを行うため、標的が設定した3つの質問を観察した。

f:id:alienware:20140723173427p:plain

図2 標的が設定したパスワード再設定質問

(あ). 標的が設定した、パスワード再設定を行う際の3つの質問
それぞれ:1. 小学校の名前は? 2.学籍番号は? 3.出生地は?
である。

2の学籍番号はやはりクラスメート等に探ればわかることなので、必要な情報は標的の1.小学校の名前、3.出生地の二つとなった。

(い). 社工(ソーシャルエンジニアリング)攻撃のスタート
まず標的のQQ番号をチャットソフトにて、友人として追加。対話を開始する。

標的は広東語系ということで、広東語を使い相手との親近感を縮める。
まずお互いの名前確認から開始。

f:id:alienware:20140723174310p:plain

図3 標的とまず友達に


(う).標的から疑われないために、一度にたくさん聞きだそうとしない
攻:写真でどこかで見たことのある顔だとおもったが、XX中学校ですか?
標:そうよ。あんたも?
攻:そうだ。何年生?
標:三年。あんたは?
攻:ぼくもだ。何クラス?僕は8班のものだけど
標:私は3班。
攻:なるほど。ちょっと用事がはいったからオフラインする、またね

f:id:alienware:20140723174358p:plain

図4 「おや、同じ陳さんで同じ学校とは、偶然でしたね!」

f:id:alienware:20140723174412p:plain

図5 「私は3-3クラスです。あっ用事があるからまたね」


(え).共通の話題(テレビドラマ)を探し出し、親近感を与える。
攻:いまなにやってるの?
標:テレビ見てる。「愛情マンション」。見たことないの?
攻:ああ その番組ね、知ってるよ。何回目までみた?
標:始まったばかりね。 あんたは?
攻:第20回までみたよ
標:そんなにたくさん見たのか?!
攻:はは まぁそんな感じかな。
標:ところで どうして私を友達追加したの?
攻:ははは、検索で偶然ヒットしただけだよ。
標:ええっ、 そんなことあるの
攻:ところで 君、どこ村出身?

f:id:alienware:20140723174901p:plain

図6 テレビ番組の話題を振り、標的と親近感をつくる

f:id:alienware:20140723174914p:plain

図7 雰囲気を盛り上げるための雑談


(お). いよいよ、標的の情報の探り出し(村の名前)
攻:君は 何村出身?
標:XX村
攻:XX村・・・・しらないな・・・ どこ近く??
標:YY村近く
攻:ああ そうか、あの「陳」のひとが多い村ね
標:そう
攻:テレビ見る邪魔しちゃったね、じゃまた
標:また

f:id:alienware:20140723175348p:plain

図8 パスワードリセット質問事項3である「村の名前」聞き出し

f:id:alienware:20140723175359p:plain

図9 一旦退散、深追いしないこと


(か). 一時間経過後(標的の疑心を避けるため)に、小学校名(パスワードリセット事項1)聞き出す
攻:ところで きみはXX小学校にいたの?
標:そう、 地元の村は小学校がなかったからね。なんで?
攻:とくに深い意味はないよ

f:id:alienware:20140723175654p:plain

図10 パスワードリセット事項1:小学校名を取得!

(き) パスワード再設定画面にたどりつく
はじめてのソーシャルエンジニアリング(詐欺)でまさかの成功
攻撃者中学生は、大変感慨が深かったです。

ラストで、この純粋なハート?を持つ中学生は余計とも言える一歩を施し、自分のQQアカウントで標的の女性に「あなたのアカウントのパスワードはクラックされましたよ、早く新しいのに変えたほうがいいです」といかにも親切に告げました。


標的女子生徒はまさか告げてきたのは攻撃した人だとも知らず、大変感謝を申し上げました。そして、ムズくなった攻撃者は、ポロリと「感謝しているなら、私と一晩過ごしてよ」と余計なひと言を言ったそうです。

そのあと、この攻撃者のQQアカウントは、標的女子生徒のチャットソフト・ブラックリストに葬られ、永遠に封印されてしまったのは言うまでもありません。

f:id:alienware:20140723175907p:plain

図11 標的QQアカウントのパスワードリセット画面


これでお分かりのように、よく考えると、「巧妙化」した標的メール攻撃も、実はただの少し進化した詐欺=サイバー詐欺ではないかと思います。

しかもこれらの「サイバー詐欺」攻撃をみてると、攻撃者皆さんは攻撃の過程を「楽しんで」実施しております。正に”遊び感覚”です。

隣の大国では青少年が日常茶飯事で行っていること、しかも遊びゲーム感覚でやっている同等レベルのサイバー詐欺に、「巧妙化だ」という表現を使うのは、どうも自分は首を傾げてしまいます。

あとがき

渋谷から二子玉川に向かうバスの中で、振り込め詐欺に注意、の掲示を見かけました。

f:id:alienware:20140724092427j:plain

図12 玉川**署のバス内掲示

 

「巧妙化」する振り込め詐欺に注意!!

とはさすがに書いてませんでした。

対策に、”真実の電話帳”たるものを作成することを勧められまして、電話してきた者の

・名前と電話番号の対照表

・合言葉

を照合して本人確認を行い、詐欺から回避します。

 

これを標的メール攻撃に置き換えてみると、、、、

”真実のメールアドレス帳”を作成し、メール送信者の

・名前とメールアドレスの対照表

・合言葉

を照合すれば本人確認はできそうですね。

 

原始的といえど、シンプルで効果はありますね。

妙に感心しました。