13/12/06 20:00:18.32 0
★ 架空の新人「女性」職員を使った侵入テスト、成功率100%に
10月末にアムステルダムで行われた「RSA Conference Europe 2013」で、セキュリティの研究家
Aamir Lakhani氏らが、ある米国の政府機関に対して正規の依頼に基づいて2012年末に行なった
侵入テストの結果を報告しました。
これは架空の女性新人職員を装い、FacebookやLinkedInを介して対象機関の職員らに接触、
当該機関内のネットワークに侵入できるかなどを試したものです。(中略)
テストで用いられた架空の女性の名前は「Emily Williams」。当該機関の近くにあり、
職員の多くが利用しているレストラン「フーターズ」のウエイトレスの写真を、本人の同意を得た上で
「Emily Williams」の写真として使っていたそうですが、誰も気付かなかったそうです。
今回のテストでは、単にFacebookやLinkedInに架空のアカウントを用意しただけでなく、インターネット上で
検索しても矛盾がないように、周到に「彼女」のプロフィールを用意しています。例えばMITの卒業生であるなど、
当該機関の職員として相応しい経歴を設定し、他のウェブサイトやMIT関連の掲示板などにも情報を掲載しました。
その一方で「大卒の28歳で10年の経験がある」という不自然さを残していたにも
かかわらず、その点から今回の「嘘」がバレることはなかったようです。
こうして周到に準備して作り上げた「彼女」をソーシャルメディア上に「誕生」させてから、
わずか15時間で、対象機関の職員および下請け業者60名のFacebookアカウント、55名のLinkedInアカウントと
つながりを持つことができ、また最初の24時間で仕事をオファーしてきた企業が3つもあったのだそうです。
今回のテストは90日間に渡って行われましたが、Lakhani氏らの目的は、最初の1週間で達成
できてしまい、残りの期間は「いつまで続けられるか」だけだったようです。(>>2へ続く)
インプレス URLリンク(internet.watch.impress.co.jp)