https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html
読んだ、攻撃手法の巧妙化が進めば人やシステムでは対処しきれなくなる。
1日に100通以上のメールが届く現場とかめちゃくちゃ忙しくてセキュリティを気にしている余裕がない現場は運用保守・ヘルプデスク・開発・設計・構築とあらゆる現場で見てきた。
自信はSI業界の人間なのだが秘文が動くシステムでは、件名と宛名を見ただけで問題ないと判断し「.exe」ファイルだろうとダブルクリックで実行または即解凍する人が多い。
運用にIT関係の知識に疎い人が関われば正体不明のファイルでも宛先に知ってる会社や取引相手の名前があれば疑うことなく開く開く。
社内のセキュリティーポリシーが厳格化されていても課長以上の人が「どうしても取り込めないファイルがあるんだ、なんとかしろ!」と言えばセキュリティーポリシーが無効化されるし
顧客企業の社員が「このファイルが開けないと仕事にならない何とかしろ!ITに詳しいんだろ!」と怒れば特別扱いで従うしかない。
一番驚いたのが開発とテスト時に使われるIDとパスワードを本番環境でも使い、当たり前のようにそのまま納品してしまう現場に立ち会ったことだ。
そのシステムに関わった下請け技術者数千人が知っているIDとパスワードと言えば恐ろしさが伝わるだろうか?
下請けである自分が「変更した方がいいのでは?」と心配になって言っても元請けのPMは「お前が考えるような事じゃない」と、何処吹く風。
そんな環境が実在する今、巧妙化するサイバー攻撃に対処するのはほぼ無理だと思う。
気を付けるにしても気を付ける余裕も時間もないどころか気を付けると客に怒られる現場も存在する中では漏らさない前提のセキュリティ対策は無意味。
漏れる前提でセキュリティ対策を考えた方が良いのではないかと思う。
一番簡単なソーシャルエンジニアリングは、大企業や官公庁のシステム開発に関わるSI企業に下請け技術者として潜り込む事だと思う。