サイバーレジリエンス第2回「ソーシャルエンジニアリング」
日付:2020年5月10日 / カテゴリー:授業
サイバー脅威の仕組みを考え、その脅威の緩和や脅威からの回復を目指すサイバーレジリエンスの講義をしています。サイバー脅威にはネットワークの知識を必要とするもの、プログラムの知識を必要とするものがあり、様々な分野から情報理工学を学びに来られた学生の方にとって、それらは今まさに勉強中かもしれません。ソーシャルエンジニアリング、とりわけフィッシングは脅威を学ぶ上では前提知識をそれほど必要としないのでは取り上げやすいと考え、この題材をもとに講義を行いました。(実際にはSSLや公開鍵暗号など補足は必要です)
この問題は「フィッシングにユーザが騙される」ことが原因なので攻撃の成功要因は説明しやすいですが、どういう対策がいいのか。フィッシング対策協議会の対策ガイドラインにある通り、被害についても情報共有を加速させることが大切かもしれません。2016年末まではフィッシングサイトは「アドレスバーを見ましょう」と言えましたが、2019年末では74%のサイトが証明書を用いていたそうですから、そう簡単ではありません。個人的には、DeepFakeによるVoice-EngineeringはSpear Vishingに悪用されて不思議はないと思っています。授業としては、このような脅威も含め、1997年から2020年まで言われていたこと対策を網羅しつつ歴史的経緯を説明し、セキュリティとレジリエンスを説明しました。次回はマルウェアです。