サイバーセキュリティにおけるダンプスターダイビングとは?
セキュリティが甘い「ごみ箱」を狙う
2023年1月16日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What is Dumpster Diving in Cybersecurity? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
サイバーセキュリティが今話題になっていることは周知の事実ですが、ダンプスターダイビング(Dumpster Diving:ごみ箱漁り)はそれと一体どんな関係があるのでしょうか。
ダンプスターダイビングとは、保護されていないごみ箱から有用な情報を探し出す行為です。
サイバーセキュリティの文脈では、これは機密データを盗んだり、固有の情報にアクセスしたりすることを意味します。
ダンプスターダイビングとは?
ダンプスターダイビングとは、サイバーセキュリティ業界で使われている用語で、ごみ箱の中から有用な情報を探し出すことを指します。
ダンプスターダイビングは、誰かがあなたのごみ箱からパスワードやクレジットカード番号などの機密情報を探し出すハッキングの手法の一つです。
バカバカしいと思うかもしれませんが、実はとても一般的な攻撃方法なのです。
ダンプスターダイビングの仕組みは?
言葉から想像されるほど気持ち悪いものではありません。
この言葉は、実際のダンプスター(ごみ箱)の中から貴重な書類を漁ることに由来しています。
ただ、現代ではほとんどの人が紙媒体の書類を持たなくなりました。
その代わりに、機密情報をコンピュータやその他のデバイスにデジタル形式で保存しています。
そしてご想像の通り、ほとんどの人は自分のデータにあまり注意を払っていません。
たとえ個人情報やパスワードが残っていたとしても、使い終わったら捨ててしまう傾向があります。
そこでダンプスターダイビングの出番です。
探し方を知っていれば、他人が捨てた機密情報を見つけて、それを悪用することができるのです!
ITにおけるダンプスターダイビングの恩恵
サイバーセキュリティのビジネスに携わる以上、常に気を引き締めていなければなりません。
脅威の状況は常に進化し、変化しており、迅速に適応できることが重要です。
例えば、ダンプスターダイビングがセキュリティ対策の一環になるとしたらどうでしょう?
ダンプスターダイビングとは、通常、人が誤って、あるいは悪意を持って捨ててしまったかもしれない情報を求めて、ごみ箱の中を探し回る行為です。
ハッカーや警察官、スクープを狙うジャーナリストなどが利用しています。
そして今、サイバーセキュリティの専門家にも利用されているのです!
誰かが悪意のあるコードを無断でネットワークに流し込んだ、という状況に陥った場合、ダンプスターダイビングは、そのコードがどこから来たのかを突き止めるのに役立ちます。
ある従業員が異動または転職する前に働いていた可能性がある建物の外にあるごみ箱(またはリサイクルボックス)を探すことで、従業員のコンピュータからどのファイルが削除されたかを示す証拠を見つけることができるのです。
(訳注:紙媒体ならば。デジタルデータなら、従業員が使っていたコンピュータのごみ箱内にある可能性があります)
もし、それらのファイルの中に何か怪しいもの(例えば、拡張子のない「password」のようなファイル名)が潜んでいたら、それは悪意のあるファイルである可能性があります!
ソーシャルエンジニアリングの手法を用いたダンプスターダイバーについて
コンピュータ内のごみ箱に飛び込むと、ダンプスターダイバーは組織の従業員の個人情報を入手することができます。
これは、ソーシャルエンジニアリング攻撃を仕掛けるのに役立ちます。
ソーシャルエンジニアリングとは、社会的な条件付けや操作を行うことで、攻撃者が従業員の信頼を獲得し、最終的には自分たちにとって有益な機密情報を開示するよう説得するための手法です。
こちらの記事でサイバー攻撃者がソーシャルエンジニアリング攻撃をよく使う理由を説明します。
サイバーセキュリティにおけるダンプスターダイブの闇
サイバーセキュリティにおけるダンプスターダイビングに関しては、これが組織や企業全体にとって何を意味するのか、という点について深刻な懸念があります。
例えば、ダンプスターダイバーがフィッシング攻撃の作戦を展開することです。
フィッシング攻撃は、組織で働く人々(あるいは単なる顧客)にメールを送り、パスワードやその他の機密情報を教えるよう仕向けるものです。
ダンプスターダイバーは、従業員リストを見つけ、フィッシング攻撃のターゲットにすることができます。
また、顧客リストを見つけ、その情報を使って、顧客に対してフィッシング攻撃やソーシャルエンジニアリング攻撃を仕掛けることも可能です。
ごみ箱は鍵がかかっていなかったり、セキュリティが十分でないことが多いため、貴重なデータを狙う窃盗犯の格好のターゲットになっています。
こちらの記事でフィッシング(なりすましメール)の一般的な兆候について説明します。
ダンプスターダイビングによるサイバー攻撃を止めるには?
- 使用後は、システムのごみ箱からも機密データをすべて削除してください。
- コンピュータシステム、およびハードドライブ、ディスク、ペンドライブなどの外部ストレージユニットをパスワードで保護していることを確認してください。
- 推測されにくいパスワードを使用してください。
すべてのアカウントに同じパスワードを使用したり、「12345」などを使用しないでください。
推測が難しく、かつ覚えやすいものにしましょう。 - システムから離れると自動的にオフになるスクリーン保護を有効にします。
- ノートパソコンは、誰かが見たり盗んだりする可能性がある場所に、セキュリティで保護されていない状態で放置しないようにしましょう。
もし誰かがノートパソコンに入り込めば、すべてのデータを盗まれ、さらに悪いことに、インターネットを通じて他のコンピュータやネットワークにアクセスする手段として使われる可能性があります。 - 知らない人、信用できない人からの添付ファイルは開けないようにしましょう。
特に、不審な送信元から送られてきたメールの添付ファイルには注意が必要です。 - 古い機器やデータを安全に廃棄するための情報セキュリティポリシーを策定し、将来第三者がアクセスしたり、追跡したりできないようにしましょう。
- 従業員が会社を辞めるとき、あるいは社内で別の役割に移るときに、機密データ(パスワードなど)をどう扱うべきか理解していることを確認してください。
そして、誰もが覚えていると思い込まないようにしましょう! - 認証情報がプレーンテキストでサーバに保存されていないことを確認してください。
- 特に、もう使っていない、あるいは必要ないサーバ上の不要なサービスやプロトコルは、ハッカーがネットワークにアクセスするためにさまざまなパスワードの組み合わせを試すのに使われる可能性がある(ブルートフォースと言います)ので、すべて無効にしてください。
情報の保護
システム上の情報を保護するのと同時に、メール情報も保護する必要があります。
重要な情報をメールで送信する場合、そのメッセージが意図した相手に届いているかどうかを確認することが重要です。
メールがブロックされたり、スパムとしてマークされたりするのは避けたいものです。
特に、クレジットカード番号や社会保障番号などの重要な情報が含まれている場合は、なおさらです。
(訳注:社会保障番号とは、アメリカで利用されているマイナンバーのようなID番号です)
DMARCは、認証チェックに合格しなかったメールの扱いをコントロール可能にして、企業がフィッシング攻撃から身を守り、スパムを減らし、到達率を向上させるのに役立ちます。
まずは2週間、PowerDMARCのトライアルをお試しください。