資格情報のフィッシング、ソーシャル エンジニアリング、そして確固たる意志さえあれば、電子メールを侵害することはできるのです。
Simeon Kakpovi
Microsoft 脅威インテリジェンス部門、脅威インテリジェンス シニア アナリスト
Microsoft 脅威インテリジェンス部門、脅威インテリジェンス シニア アナリスト
Microsoft 脅威インテリジェンスのポッドキャストで、エキスパートが直接提供するインサイトをご確認ください。 今すぐ聞きましょう。
エキスパートの横顔: Simeon Kakpovi
Microsoft 脅威インテリジェンス部門、脅威インテリジェンス シニア アナリスト
Simeon Kakpovi は、当初は医師を目指したものの、ほどなく適性がないことを悟りました。「いくつか専攻を乗り換えた末、情報システム系に落ち着きました。付いてくれたメンターの専門分野がサイバーセキュリティだったので、私も同じ道を目指すことにしました」
ハワード大学の 2 年生当時に地元コミュニティ カレッジでサイバーセキュリティ科目を追加履修して勉強を進め、Lockheed Martin の Cyber Analyst Challenge に参戦する機会を得ました。「主催者から 80 GB のデータが入った USB ドライブが届きました。そこから、以前にはほとんど経験したことがないくらい楽しい出来事が始まりました」
このチャレンジの参加者は、パケット キャプチャとメモリ ファイルを使ってサイバー侵入の全貌を分析することを要求されます。「その過程で、サイバーセキュリティの世界全体を俯瞰的に知ることができ、この仕事で生きていこうと思いました」
Simeon は Lockheed Martin のインターンシップで働くようになり、サイバースキルゲーム "KC7" の共同開発者となりました。「サイバーセキュリティの授業では、実際のデータにはアクセスできず略語や曖昧な概念を使って学習するしかない場合が多いのです。仕事に就くまではスキルが身につかず、しかしスキルがなければ仕事に就けない、という堂々巡りの状況になっています」
現在 Simeon は、Microsoft のアナリスト チームを率いて 30 を超えるイラン系グループの動きを追っています。Simeon の指摘によると、動機や活動内容にグループごとの特色はありますが、"執念" という 1つの共通項をすべてのイラン系アクター の中に見出すことができます。
「イランには一貫した粘り強さと忍耐強さを感じます。彼らには、標的を侵害するためなら進んで労力、時間、リソースを費やす姿勢が見られます。イラン系関連の攻撃者を追っていると、別にソフトウェアのゼロデイ脆弱性や斬新な攻撃手法を使わなくても、攻撃を成功させることは可能だということを思い知らされます。資格情報のフィッシング、ソーシャル エンジニアリング、そして確固たる意志さえあれば、電子メールを侵害することはできるのです」
「ソーシャル エンジニアリングには単純なイメージがあるかもしれませんが、実際はそう単純でもありません。世の人々自身が SNS に書き込む個人情報なども、脅威アクターのソーシャル エンジニアリング キャンペーンでは実際に悪用されることがあります」
たとえば、Crimson Sandstorm は、LinkedIn ユーザーのプロフィールに記載されている職務に基づいて、個人を標的にした架空の SNS プロフィール (ハニーポット) を仕掛けます。そのうえで、数か月かけて恋愛関係を築き、公開プロフィールから収集した情報を利用して信頼関係や親密さを深めます。そして最終的には、BEC の標的に対し、動画やアンケートを装った悪意あるファイルを送り付けます。対象者の受け取ったファイルが実行され、セキュリティ警告が表示されても、長期にわたって築かれた人間関係の影響により、警告は無視される可能性が高くなります。
Simeon は、イラン系の脅威アクターが多種多様な動機に基づいて活動している形跡を観測しています。「Mint Sandstorm の活動パターンや、政府とのやり取りがある機関への攻撃行動を追っていると、原子力政策に関する動機を見て取れることが少なからずあります。また、シンクタンクや学術機関からイラン政府に批判的な内容の情報が公表された場合に、脅威アクター グループの怒りが増大している可能性があります。そうしたグループは、米国などの西側諸国からどのような態度の政策が打ち出されようとしているかを事前にキャッチでき、イラン政府にとって有益な情報を持つ個人を標的にしているかもしれません」
Microsoft をフォローする