スネークハント -華麗なるハッキング-

蛇の技術：セキュリティアタックの解説

▼蛇の技術　ＩＣカードの偽造

　身分証などでよく使われる、ＩＣカード類の多くは、一般的な非接触カードリーダーで読み取ることができる。

　カードの片隅に埋めこまれた、ごく小さなＩＣチップの内部には『012345abcde……』などのように、システムで照合可能な文字列が刻印されており、システムはこれらを読み取って認証をしている。

　読み取れるということは、同じ電磁情報を持ったカードを複製できるということでもある。

　こういったＩＣチップ埋めこみ型のＩＤカード類はしょせん『鍵』にすぎない。

　ＩＣチップに刻印されたデータ文字列、つまり『鍵』が複製されたときに、悪用されうるリスクを忘れてはならない。

▼蛇の技術　ＵＳＢデバイスでのハッキング

　ＵＳＢメモリなどのＵＳＢデバイスを接続するだけで感染するウイルス（またはマルウェア、ワーム）が存在する。ＵＳＢデバイスを媒介とすることで、ネットワーク上は堅牢に守られた端末にも被害を及ぼすことが特徴となる。

　また、このタイプの有名なマルウェアに『スタックスネット』と呼ばれるものがある。二〇一〇年にはこれがイランの核施設へのサイバー攻撃にもちいられ、実害を与えている。

　また、本作のように人間心理の隙を突いた狡猾な手法が駆使される場合がある。

　端末がマルウェアに感染した場合は、バックドア（外部から遠隔操作をするための裏口）を設置されるなどの被害を受ける。

　対策としては、出自の不明なＵＳＢデバイス全般を安易にシステムへ接続しないこと。ウイルス対策製品を導入すること。システムを最新に保つ。などが挙げられる。

▼蛇の技術　なりすまし電話

　電話によって他人を騙り、システム管理者などから認証情報を聞き出す手法がある。

　これはソーシャルエンジニアリングの代表的な手口のひとつである。

　この際、社内の上席の者を騙るなどし、標的を焦らせようとすることが多い。

　それに近年では、実在の人物の映像や音声などをＡＩに学習させ、生成にもちいる『ディープフェイク』という技術があり、この技術によって生成された音源が悪用されると、さらに真偽を見極めることが困難になるだろう。

　対策としては、かかってきた電話で認証情報などを伝えることはせず、組織に登録された電話番号へ折り返して伝達する。組織で定められた正規の手順で伝達する。などが考えられる。