架空の新人女性職員を使った侵入テスト、成功率100%を達成

あるAnonymous Coward 曰く、　セキュリティ専門家が、米政府機関や大手金融機関をターゲットに架空の新人女性職員を装ったソーシャル・エンジニアリング手法を使い侵入テストを行ったところ、なんとすべてのケースで侵入に成功してしまったという結果が発表された（INTERNET Watchの記事）。

　これは10月末に行われた「RSA Conference Europe 2013」で報告されたもので、このテストは米政府機関からの依頼に基づき昨年実施された。実験では、FacebookやLinkedIn上に「Emily Williams」という架空の女性アカウントを作成、さらにはネット上での検索結果に矛盾が出ないよう、（設定上の）出身大学関連の掲示板にも情報を掲載するなどの偽装工作が行われた。結果、「彼女」は誕生から僅か15時間で、対象機関の職員など約60名と繋がりを持つことに成功する。

　その後、このアカウントから感謝祭やクリスマスといったイベントのたびにマルウェアを含んだメッセージを送信、職員や下請け業者、さらにはアンチウイルスベンダーらの業務用PCへの侵入に成功。最終的に彼らを踏み台にして、SNSを使用していなかったセキュリティ担当者の個人情報を取得、バースデーメッセージを装ったマルウェアを送信することで、機密情報へのアクセス権を獲得したという。

　テストを行ったLakhani氏は、「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」とコメントした上で、「彼女」が最初に接触したのが機密情報とは縁のない周辺の部署であり、そうした人々が自分が狙われる危険性を認識していないことが問題だと述べている。

　同種の実験としては、2010年に架空の女性「Robin Sage」による個人情報収集が行われており、今回のテストもそれをヒントにしたものだという。なお、架空の新人男性職員によるテストも行われたものの、こちらは一人も繋がりが出来ず失敗に終わったという。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | SNS | 情報漏洩

　関連ストーリー：
New York Comic Conの主催者が来場者のSNSアカウントを使い、勝手にメッセージを投稿 2013年10月14日
KDDI研究所がTwitterのつぶやきから年齢や性別などを推定する技術を開発 2011年02月04日
SNS上で実在しない人間を装って個人情報収集、成功した理由は「美人だったから」？ 2010年07月28日