パスワードや個人情報などが書かれたメモや付箋をそのままゴミ箱に捨ててしまうと、悪意のある攻撃者から中身を盗み見られてしまう恐れがあります。
ゴミをあさって重要な情報を盗み取るサイバー攻撃をトラッシングと言います。
この記事では、トラッシングの概要と事例、具体的な対策について解説します。
また、こうした原始的な方法で企業のセキュリティを脅かすソーシャルエンジニアリングの概要から対策までまとめた資料を無料で配布しています。ぜひご活用ください。
トラッシングとは
トラッシングとは、廃棄された書類や記憶媒体からパスワードなどの重要な情報を見つけて、不正ログインを試みたり、情報を漏洩させたりするサイバー攻撃のことです。
攻撃者は、ゴミ収集所などでゴミをあさる、清掃員になりすます、ゴミの回収業者になりすましてゴミを回収するなど、さまざまな手口でトラッシングを行います。
本来、パスワードや個人情報などの重要な情報がかかれた書類は、規則によりシュレッダー処分されることが多いのですが、ちょっとしたメモや付箋については、そうした対策が疎かにされていることがあります。
また、溶解処理やシュレッダー処理がなされる書類も、処理がなされるまでの間、適切な保管がなされていなければ、保管場所への侵入・書類持ち出しが行われるかもしれません。
トラッシングはソーシャルエンジニアリングの一部
トラッシングのように、ネットワークに侵入するための ID とパスワードなどの情報を、インターネット以外の手段で入手するいくつかの方法を総称して「ソーシャルエンジニアリング」と言います。トラッシングはソーシャルエンジニアリングの一部と言えるでしょう。
ソーシャルエンジニアリングの特徴として、人間の心理やミス、うっかりにつけこんで攻撃を仕掛けるというものがあります。
たとえば、電話などで攻撃対象者に近しい人になりすましてパスワードを聞き出す手段などは、昔からのソーシャルエンジニアリングの手口として知られています。
その他、トラッシングと類似したセキュリティ攻撃について見ていきましょう。
トラッシングと類似したセキュリティ攻撃
トラッシングと類似したセキュリティ攻撃には以下のようなものがあります。
なりすまし電話で情報を窃取する
取引先やシステム管理者になりすまして電話をかけ、パスワードや機密情報などを聞き出す手口です。
メールとは異なり電話での本人確認は困難であり、古い手口とは言え、なかなか侮れません。
ターゲットの背後から画面を覗き見る
「ショルダーハッキング」と呼ばれる手口です。
カフェやコワーキングスペースなどにおいて、PC・スマートフォンを操作している人の背後から画面を覗き見て、パスワードなどの情報を盗み見ます。
なりすましメールを送信して重要な情報を送信させる
電話を使った手口と同様に、ターゲットの関係者になりすましてメールを送信し、パスワードや機密情報を送信フォームに入力させたり、メールで返信させたりする手口もあります。
このような手口のサイバー攻撃をフィッシング詐欺と言い、現在多くの企業が被害にあっています。
トラッシングを含めたソーシャルエンジニアリングの事例
トラッシングを含めたソーシャルエンジニアリングの事例は世界中で確認されており、その手口も複雑かつ巧妙になってきています。
ディープフェイクを悪用した事例
ディープフェイクとは、AI の「ディープラーニング」と「フェイク」を組み合わせた言葉で、本人にそっくりな偽音声や偽動画を制作する技術のことです。
まるで本物のように見える偽の動画が制作され、実際に悪用される事例が発生しています。
卑近な例では、2020年、ディープフェイクにより制作された偽のアダルト動画で、名誉棄損と著作権法違反として逮捕者が出ています。
ディープフェイクによる偽動画は、高度な技術や資金がなくても個人でも制作可能です。
いまだ法規制も未整備であり、同様の事例は今後も発生することと思われます。いまかなり注目されるソーシャルエンジニアリング手法の一つと言えます。
テスラ社員を標的としたソーシャルエンジニアリングの事例
2020年、ロシア国籍の男性がテスラ社にソーシャルエンジニアリングを仕掛ける事例がありました。
攻撃者は、メッセージツール「WhatsApp」で共通の知人を通じてテスラ社従業員と接触、ロシアから米国へ旅行する際の同行を依頼。攻撃者と従業員は、別の2人を連れて実際にアメリカ国内を旅行したそうです。
その後、攻撃者は従業員を二人きりでの食事に誘い、食後に移動したバーで「ビジネス」と称したテスラ社へのサイバー攻撃の話を持ち掛けました。攻撃者は従業員に賄賂を渡し、マルウェアを仕掛けるよう指示したようです。
従業員は愛国心と組織への義務感としてFBIの捜査に協力し、攻撃者の男性は逮捕されるに至りました。
三菱重工の社用PCからマルウェアが感染拡大した事例
2020年、三菱重工グループにおいて、テレワーク利用中の業務用PCがマルウェア感染し、そのPCが社内ネットワークに接続されてしまったことで感染拡大した、という事例が発生しました。
本件は、従業員が社内ネットワークを経由せずに外部ネットワークに接続し、SNS上でマルウェアを含んだファイルをダウンロードしたことが発端となっています。
攻撃についての詳細は発表されていませんが、公式にソーシャルエンジニアリングであると断定されているため、フィッシング的な手法ではなく、SNS上でのやりとりや乗っ取りが行われたと考えられます。
トラッシングを含めたソーシャルエンジニアリングへの対策
トラッシングを含めたソーシャルエンジニアリングへの対応は、高度なことばかりではありません。
たとえば、重要な情報が書かれたメモや付箋は速やかに断裁してから処分する、USBメモリやパソコンなどの機器の廃棄時には消去ソフトを活用するなど、不要になった情報を第三者が入手できなくする対策が最も効果的です。
また社内のデータは極力持ち出さず、どうしても持ち出す必要がある場合は、上司や管理者の許可を得たうえで、パスワードをかけるなどのセキュリティ対策を万全にすることも必要です。
また社内の関係者以外の人物が入り込まないように、不審者を見かけたら声をかけて牽制することも効果的です。
まとめ
単にゴミ箱漁りとも言われるようにトラッシングは古典的なサイバー攻撃手法ですが、些細な油断や心の隙が重大な被害につながります。
重要な情報を破棄する際は、きちんとシュレッダーにかける・溶解する、端末はデータ消去ソフトを利用するなどして、トラッシングを防止しましょう。
