| その求人情報がサイバー攻撃の情報源に?!公開情報から読み解く攻撃の兆候 | |
|---|---|
| 作成日時 25/10/08 (08:09) | View 2743 |
企業にとって、優れた人材の確保は事業成長に不可欠です。求人情報を公開し、自社の魅力をアピールすることは当たり前の活動といえるでしょう。しかし、その求人情報が、思わぬかたちでサイバー攻撃のきっかけとなりうることをご存知でしょうか。
一見無害に思える求人情報や企業ブログの公開情報が、実はサイバー攻撃者にとって格好の「情報源」となっているケースは少なくありません。本稿では、公開情報から読み解く攻撃の兆候と、企業が取るべき対策について解説します。
サイバー攻撃者は、攻撃を成功させるために、標的企業の情報を徹底的に収集します。これを「偵察」や「フットプリンティング」と呼びます。
この偵察活動において、求人情報サイトや企業ブログ、技術ブログ、SNSなどは非常に重要な情報源となります。なぜなら、これらの情報には、以下のような、攻撃の足がかりとなる情報が意図せず含まれている可能性があるからです。
1. 使用技術・システムに関する情報
求人情報には、「求めるスキル」として、特定のプログラミング言語、フレームワーク、データベース、クラウドサービス、OSなどが明記されることがよくあります。
例:「AWS環境での開発経験」「Dockerコンテナ技術に精通」「PythonとDjangoを使用したWebアプリケーション開発」
これらは、採用担当者にとっては必要なスキルを明確にするための情報ですが、サイバー攻撃者にとっては、標的企業が使用している具体的な技術スタックを把握するための重要なヒントとなります。
攻撃者は、これらの技術に関する既知の脆弱性(CVE情報など)を洗い出し、攻撃に利用できるかどうかを検討します。特定のバージョンのデータベースやフレームワークに脆弱性が見つかれば、その脆弱性を悪用してシステムに侵入を試みるかもしれません。
2. 組織体制・チーム構成に関する情報
求人情報には、「〇〇部での開発」「セキュリティチームの立ち上げメンバー募集」「〇〇の専門家を増員」といった、組織体制や担当業務に関する情報が含まれることがあります。
例:「インフラエンジニア募集」「CSIRTメンバー募集」「SREチームの立ち上げ」
これらの情報は、攻撃者にとって「誰が、どのような権限を持って、どのようなシステムを管理しているか」を推測する手がかりとなります。
たとえば、「インフラエンジニア」の募集情報があれば、攻撃者はその企業のインフラ構成に詳しい人物が社内にいることを知ります。また、「CSIRT」の募集情報があれば、その企業がセキュリティ対策に力を入れ始めている一方で、セキュリティチームがまだ十分に機能していない可能性を推測します。
さらに、これらの情報から、特定の個人(従業員)の氏名やメールアドレスなどをSNSや企業ブログから特定し、その人物を標的としたフィッシング攻撃やスピアフィッシング攻撃を仕掛けることも可能になります。
3. 事業計画・新規プロジェクトに関する情報
求人情報には、新規事業やプロジェクトに関する情報が含まれることがあります。
例:「新規Webサービス立ち上げのため、リードエンジニア募集」「〇〇を支える次世代AIシステムの開発」
これらの情報は、攻撃者にとって、企業が今後どのような事業に注力していくか、どのシステムの重要度が高いかを判断する材料となります。重要なプロジェクトに関わるシステムほど、攻撃の対象として狙われやすくなるでしょう。
攻撃者は、これらの情報を利用して、特定のプロジェクトに関連する人物やシステムを重点的に偵察し、攻撃の機会を探ります。
サイバー攻撃者が、公開情報をどのように利用して攻撃を仕掛けるのか、具体的な手口を見ていきましょう。
偵察(フットプリンティング)
攻撃者はまず、Google検索、求人サイト、SNS、企業ブログ、技術ブログなど、あらゆる公開情報を横断的に調査します。
● Whois情報: ドメインの登録者情報から企業の担当者や所在地を特定します。
● DNS情報: DNSレコードからサブドメインやメールサーバーの情報を取得します。
● IPアドレス情報: 公開されているIPアドレスから、企業のネットワーク構成や使用しているサーバー情報を推測します。
● オープンソースインテリジェンス(OSINT): 公開されている情報源から情報を収集・分析する手法です。
この段階で、求人情報から得た「使用技術」や「チーム構成」などの情報が、攻撃計画の土台となります。
脆弱性の特定と悪用
偵察段階で得られた「使用技術」の情報(例:特定のバージョンのWebサーバーやCMS)をもとに、攻撃者はその技術に既知の脆弱性がないか、CVEデータベースなどを利用して徹底的に調査します。
脆弱性が見つかった場合、攻撃者はその脆弱性を悪用するツールやスクリプトを作成し、実際の攻撃に利用します。
ソーシャルエンジニアリング
求人情報から「〇〇部門のエンジニア」や「△△システムの管理者」といった情報を得た攻撃者は、その人物を標的としたソーシャルエンジニアリングを仕掛けます。
● フィッシング: 標的の人物に偽のメールを送信し、認証情報や個人情報を盗み取ろうとします。
● スピアフィッシング: 標的の人物に特化した、より巧妙なフィッシング攻撃です。求人情報やSNSで得た情報(例:「〇〇部〇〇様、〇〇の件で…」)を盛り込むことで、受信者を騙しやすくなります。
● なりすまし: 標的の人物になりすまして、社内ネットワークに侵入したり、機密情報を入手しようとします。
求人情報や企業ブログを一切公開しないわけにはいきません。重要なのは、「何が攻撃のヒントとなりうるか」を理解した上で、情報公開の範囲を見直すことです。
1. 公開する情報の精査と匿名化
求人情報や技術ブログを公開する際には、以下の点に注意して情報を精査しましょう。
● 技術情報の抽象化: 具体的なバージョン番号や詳細な構成情報を記載しないようにします。「〇〇データベースでの開発経験」のように、抽象的な表現に留めることを検討します。
● 内部システム名称の非公開: 社内で使用しているシステム名やサーバー名、プロジェクト名などは公開しないようにします。
● 組織体制の抽象化: 募集職種名が具体的なチーム名や担当業務を示す場合、より一般的な表現に修正します。
2. セキュリティ教育の徹底
従業員、特に採用担当者やマーケティング担当者、広報担当者など、対外的な情報発信に携わる部門の社員に対して、セキュリティ教育を徹底することが重要です。
● OSINTの危険性の理解: 公開情報がどのように攻撃に利用されるかを具体的に説明し、従業員のセキュリティ意識を高めます。
● 情報公開ガイドラインの策定: どのような情報を公開して良いか、逆に公開してはいけないかという明確なガイドラインを策定し、周知徹底します。
● ソーシャルエンジニアリングの脅威: フィッシングメールやなりすましの手口を具体的に共有し、不審なメールやメッセージに騙されないよう注意喚起を行います。
3. セキュリティ監査(ペネトレーションテスト)の実施
自社が公開している情報が、外部から見てどれだけ脆弱性を抱えているかを客観的に評価するため、ペネトレーションテスト(侵入テスト)を実施することも有効です。
ペネトレーションテストの専門家は、サイバー攻撃者と同じ手法で、公開されている情報を収集し、システムへの侵入を試みます。これにより、自社が気づいていない潜在的な脆弱性を発見することができます。
求人情報や企業ブログは、企業の魅力を伝え、優秀な人材を惹きつけるための重要なツールです。しかし、その一方で、意図せずサイバー攻撃のきっかけとなりうる「両刃の剣」であることも忘れてはなりません。
情報セキュリティは、単に技術的な対策だけでなく、「何を公開し、何を公開しないか」という情報発信のあり方そのものから見直す必要があります。
