ばれるまでは知られない?ばれてもOKな「すみません攻撃」とは何か
最近の日本企業で多発している「改ざん・隠蔽」の問題です。ニュースなどの会見を見ているとコンプライアンスが…みたいな、意味のわからないこと(自分だけが理解できてないのかも)になっています。
研修などでお話しするセキュリティネタに「すみません攻撃」というのがあり、これらのニュースをみてこれ一緒だ!と繋がりました。
すみません攻撃とは?
セキュリティ(暗号化)の専門家、ブルース・シュナイアーが著書(セキュリティはなぜやぶられたのか
例えば、
おつりをごまかして渡しす。相手が気づかなければその分はポケットに入り、あれ少ないぞ?と気がつけばすみませんと謝る。
何かを追及されても、私は知らなかった…等のよくある台詞も同じ。
明確な悪意があっても証明のしようがないというもの。原因として、普通にうっかりして起きてしまっても、故意に起こしても…結果として同じ状況に変わりはない。
情報セキュリティの場合
これかなり応用の効く攻撃です。様々な場面で利用できてしまう。しかし明確な悪意があっても「すみません」という魔法の言葉でリセットできる。
一方で本当のうっかりミスなどでも起きること。こっちの場合、簡単にリセットできないと何も進まなくなってしまう。
自身の責任を逃れ、相手の責任になるように誘導していくなど。ちょっとした確認をすることで回避できる簡単な問題でも、うっかりミスと区別がつかない状況にすることでうやむやにする。書類を確認せずに受けとったり、相手の確認もせずに何かを進めたりなど。
相手も相手ならば、自身で出来ることもキッチリしていないから、色々起きてしまう。
セキュリティ事故の8割ちかくが人的な問題(管理ミス、誤操作、紛失盗難…)で、その誘発にうっかりがどれ程影響しているのか? 明確な数字は解りませんが、少なくはないでしょう。
この状況、何をもって判断をするか?
判断は難しいと思います。どっちも似たような状況で起きて、回避?解決?も「すみません」で終わってしまう。
逆に考えれば、悪意をもってこれを進めるならば、どういう状況でどのようにするのか?を事前にシミュレーションできるはず。していれば、それを自分にされた時、気がつくか騙されたふりまでも選択できる。こういうくだらないようなことも知っておけば、有事の際に役に立つ。何ごとも日頃からの演習しかない。
360°の全方向からの手口を知らない限り、状況判断はできない。
情報セキュリティならば、このような考え方も出来ますが、先の改ざんや隠蔽では何が出来るのか?と。
ブログのタイトル通り、ばれるまでは知られない?ばれてもOKな感じなのでしょうか?
発生規模で考える事くらいしか解りませんが、それでも…ばれてもOKなのでしょうか?
お天道様が見ている…真っ当に歩いていけるようなことを、していきたいと思います。