サイバー攻撃の多様化はとどまることを知らず、常に多方面へ備えることが必要です。また、サイバー攻撃や不正アクセスの入り口は、オフラインの場所にも潜んでいます。
本記事で紹介するスキャベンジング(トラッシング)はサイバー攻撃の一種ですが、攻撃の糸口となるのは事業者、組織、個人の出す「ゴミ」です。重要性の高いデータに関しては、ゴミの扱いにも注意しなければなりません。
本記事では、スキャベンジングについて概要、事例、対策と、スキャベンジングから発展する標的型攻撃について詳しく説明します。
スキャベンジングなど、高度な技術無しに重要情報を盗み出す攻撃手法 ソーシャルエンジニアリングの事例・対策方法がわかる資料を無料で配布しています。ぜひご覧ください。
スキャベンジングとは
スキャベンジングは、ソーシャルエンジニアリングによるサイバー攻撃の一種です。
事業者や組織などが出すゴミを漁り、そこから個人情報やシステム利用のための情報を得て、不正アクセスやサイバー攻撃に悪用します。
英語では「scavenging」であり、「掃除する、ごみを漁る」といった意味を持つ「scavenge」が語源です。トラッシングとも呼ばれており、こちらも「trashing」で「ごみ」を意味する「trash」を語源とします。
スキャベンジングで漁られる対象は、大きく分類すると下記の2種類です。
- 印刷物
- 記憶媒体(USBメモリやDVDなどのメディア、可搬記憶媒体、ハードディスクなど)
漁られたゴミの中に個人情報があれば、リスト化してダークウェブなどで売買され、サイバー攻撃や不正アクセスに悪用されます。
また、組織のコンピュータネットワークの設定情報などが含まれる場合には、そのまま外部からの侵入のためのヒントとして利用されてしまうことが懸念されます。
スキャベンジングによる被害例
スキャベンジングによって被害が起きる例をいくつか紹介します。
パスワードを書いた付箋が拾われてしまった
各種のシステム、サービスの利用によく利用されるパスワードですが、付箋などに書き込んでPCに貼っている人も目にしますね。例えばこれをゴミ箱に廃棄した後、社内の悪意のある人物に拾われてしまい、情報流出・漏えいにつながる可能性がありえます。
書類の処分を依頼したサービスの隙を付かれた
機密情報漏えい対策のために、紙に印刷した書類は書類溶解・焼却サービスを使って処分していました。しかし、書類溶解・焼却サービスの運営に隙があり、溶解・焼却前の書類を盗まれてしまった場合には、機密情報の流出がかんたんに発生してしまいます。
記憶媒体の処分で不正な処理がなされた
ハードディスクやUSBメモリ、DVDなどの記憶媒体および記憶媒体を接続したままのコンピュータは、読取り可能な状態で捨ててしまうとスキャベンジングにあってしまいます。このため、専門の処分業者に廃棄の依頼をすることが一般的です。
しかし、この業者選びは慎重に行わなければなりません。コンピュータ丸ごとの廃棄で部品が転売され、そこから復旧したデータがインターネット上に漏えいしてしまうような事態も想定できます。
作業用の印刷物が悪用されてしまった
情報システムの設定作業などの際には、設定情報を印刷する機会もあるかもしれません。
例えば、社内のネットワーク更新に際してIPアドレス等の一覧表を作成し、印刷したとします。この資料をシュレッダーなどにかけずゴミ箱に廃棄してしまった場合、拾われてサイバー攻撃に利用されてしまいます。
スキャベンジングへの対策
スキャベンジングを防ぐための対策を改めて確認しておきましょう。
紙類は溶解・焼却サービスを利用する
印刷した資料など機密情報や個人情報を含む紙類は、信頼できる業者による溶解・焼却サービスを利用して処分します。万が一にも流出を防ぐことが大切です。
記憶媒体は物理的な破壊を行う
記憶媒体の破棄時は、物理的な破壊をしておくことで読取りを防ぐことができます。専門の業者に依頼する場合も、物理的な破壊までを依頼しておきましょう。また、物理破壊は組織内で実施し、破壊後の媒体の引き取りのみ業者に依頼しても良いです。
ゴミの破棄や管理について、ルールを設ける
スキャベンジングを防ぐための根本的な対策となるのが、ゴミの破棄や管理についてのルールを策定することです。例えば、下記のようなルールを定めます。
- 不要な紙への印刷は避ける
- 紙媒体の破棄には溶解・焼却サービスを利用する
- 記憶媒体の破棄は物理的な破壊を自分で行い、破壊後の媒体を産業廃棄物として対処する
- 破棄に向けて集めた紙や記憶媒体などは、許可された人員のみが入室できる部屋に保管する
スキャベンジングは標的型攻撃の一部
スキャベンジングは、特定の組織へのサイバー攻撃や不正アクセスの足掛かりとして認証情報を得るために行われるので、標的型攻撃の一部であると言えます。
ほかにもあらゆるソーシャルエンジニアリング的手法を駆使して標的組織への侵入の足掛かりを得ます。
標的型攻撃の手口と対策
スキャベンジングと合わせて、標的型攻撃の手口および足掛かりとなる手法と対策についておさらいしておきましょう。
標的型攻撃の種類や、詳細な手口などについては、「標的型攻撃の手法や手口とは?標的型攻撃の種類も合わせて解説」で詳しく説明していますのでご参照ください。
標的型攻撃メール
標的型攻撃の代表格とも言えるのが標的型攻撃メールです。
ターゲットを絞って悪意のあるWebサイト等へ誘導するメールを送信して行う攻撃で、文面やタイトルなどもターゲットが開封してしまいそうな内容で作成されています。メール送信元の偽装とも組み合わされるケースが多いです。
標的型攻撃メールの対策は、その手口を知ること、各種の注意喚起で情報を集めておくこと、メールの文面や送信元の確認、訓練の実施などです。完全に防ぐことは難しく、企業や組織では従業員全体が意識とリテラシーを持って対策にあたる必要があります。
詳しくは「標的型攻撃メールの対策方法とは?特徴や事例などについても解説」をお読みください。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、社会活動やデジタル上の仕組み以外から各種の情報を窃取するサイバー攻撃です。代表的な例として、下記があげられます。
- 肩越しにPCやスマホのディスプレイを覗き見る(ショルダーハッキング)
- 電話で取引先担当者や顧客になりすます
- SNS上でなりすます、不正にログインする
対策として必要なのは、情報に対して重要性を自覚し、隙を見せないことといえます。
水飲み場攻撃
水飲み場攻撃とは、Webサイトを改ざんし、マルウェアへの感染を促すサイバー攻撃です。
ソーシャルエンジニアリングなどの手法を用いて、特定の利用者がいるWebサイトなどを特定し、ターゲットとします。また、Webサイトへのアクセス者をIPアドレスなどで判断し、特定の条件の場合のみ攻撃する巧妙な手口も登場しています。
他の標的型攻撃と組み合わせて、サイバー攻撃に利用される手法です。ゼロデイ攻撃とも組み合わされるため注意が必要です。
対策としては、不審なURLへのアクセス、ファイルのダウンロードをしないよう教育を実施する、セキュリティパッチの最新化、EDR製品による端末の保護などがあげられます。
ゼロデイ攻撃
ゼロデイ攻撃は、対策が未確立な脆弱性を付いたサイバー攻撃です。OSやWebサイト、各種のソフトウェアのセキュリティ上の弱点をついて情報を取得し、マルウェアへの感染などをさせます。
対策となるのは、OSやソフトウェアへの速やかなセキュリティパッチの適用、EDR製品による対策、サンドボックス環境の導入などがあげられます。
まとめ
スキャベンジングは、企業や組織のゴミをあさり、そこから得た情報を悪用するサイバー攻撃の手口で、トラッシングとも呼ばれます。
ターゲットを絞った攻撃であることから標的型攻撃の一種に分類されます。印刷物や記憶媒体がスキャベンジングの糸口となるため、ルールを定めて取り扱いに気を配ることが対策となります。
