オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ばれるまでは知られない?ばれてもOKな「すみません攻撃」とは何か

»

最近の日本企業で多発している「改ざん・隠蔽」の問題です。ニュースなどの会見を見ているとコンプライアンスが…みたいな、意味のわからないこと(自分だけが理解できてないのかも)になっています。

研修などでお話しするセキュリティネタに「すみません攻撃」というのがあり、これらのニュースをみてこれ一緒だ!と繋がりました。

すみません攻撃とは?

セキュリティ(暗号化)の専門家、ブルース・シュナイアーが著書(セキュリティはなぜやぶられたのか)で、「ありがちな間違いをわざとして、ばれたら謝る」ものを、すみません攻撃と呼んでいる。

例えば、

おつりをごまかして渡しす。相手が気づかなければその分はポケットに入り、あれ少ないぞ?と気がつけばすみませんと謝る。

何かを追及されても、私は知らなかった…等のよくある台詞も同じ。

明確な悪意があっても証明のしようがないというもの。原因として、普通にうっかりして起きてしまっても、故意に起こしても…結果として同じ状況に変わりはない。

情報セキュリティの場合

これかなり応用の効く攻撃です。様々な場面で利用できてしまう。しかし明確な悪意があっても「すみません」という魔法の言葉でリセットできる。

一方で本当のうっかりミスなどでも起きること。こっちの場合、簡単にリセットできないと何も進まなくなってしまう。

自身の責任を逃れ、相手の責任になるように誘導していくなど。ちょっとした確認をすることで回避できる簡単な問題でも、うっかりミスと区別がつかない状況にすることでうやむやにする。書類を確認せずに受けとったり、相手の確認もせずに何かを進めたりなど。

相手も相手ならば、自身で出来ることもキッチリしていないから、色々起きてしまう。

セキュリティ事故の8割ちかくが人的な問題(管理ミス、誤操作、紛失盗難…)で、その誘発にうっかりがどれ程影響しているのか? 明確な数字は解りませんが、少なくはないでしょう。

この状況、何をもって判断をするか?

判断は難しいと思います。どっちも似たような状況で起きて、回避?解決?も「すみません」で終わってしまう。

逆に考えれば、悪意をもってこれを進めるならば、どういう状況でどのようにするのか?を事前にシミュレーションできるはず。していれば、それを自分にされた時、気がつくか騙されたふりまでも選択できる。こういうくだらないようなことも知っておけば、有事の際に役に立つ。何ごとも日頃からの演習しかない。

360°の全方向からの手口を知らない限り、状況判断はできない。

情報セキュリティならば、このような考え方も出来ますが、先の改ざんや隠蔽では何が出来るのか?と。

ブログのタイトル通り、ばれるまでは知られない?ばれてもOKな感じなのでしょうか?

発生規模で考える事くらいしか解りませんが、それでも…ばれてもOKなのでしょうか?

お天道様が見ている…真っ当に歩いていけるようなことを、していきたいと思います。

Comment(0)