さらに、越境ECのサポートサービスを展開していくなかで、同社自身にも更なるノウ

September 26 [Fri], 2014, 9:49
今年もラスベガスで開催された世界最大級のハッキングカンファレンス DEF CONこのイベントには様々な企画が目白押しだが、中でも最大級の目玉とされているハッキングイベント、CTF(Capture The Flag)についてはご存じの方も多いと思われる

他の写真を見る

しかし今年で 5 回目の開催となった SECTF (ソーシャルエンジニアリング CTF)は、日本人にとっては馴染みが薄いだろうSECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だ技術を駆使するのではなく、人間の心理を利用するソーシャルエンジニアリングの能力を、果たしてどのように競うのか?

世界で最初にソーシャルエンジニアリングのフレームワークを作り上げた、SECTF の創始者でもある Christopher Hadnagy 氏とパートナー関係を持つ日本のセキュリティ企業、株式会社アズジェントの協力のもと、編集部はChristopher Hadnagy 氏本人から競技の目的や歴史、そしてソーシャルエンジニアリングについて詳しく話を聞いた

SECTF 開催の 2 日前、競技の準備が進められているDEF CON 22 会場で、Chris 氏はとてもフランクに、私たちの質問に笑顔で答えてくれた


●SECTF とは?

──本日は、お忙しいところインタビューに応じていただきありがとうございますなにしろ、これが日本で初めて SECTF を紹介する記事になりそうなので緊張していますが、お手柔らかにお願いします

「来てくれてありがとうそんなに緊張しないで大丈夫だよ、ソーシャルエンジニアリングは怖いものに思われるかもしれないけれど、僕も駒瀬(株式会社アズジェント セキュリティ・センターフェロー)もフレンドリーだからね」

──ありがとうございますでは早速ですが、SECTF の概要を説明していただけますか

「DEF CON 22 では様々なハッキングの競技が行われる今週金曜日(編集部註:2014 年 8 月 8 日)から始まる SECTF は、実在する米国企業をソーシャルエンジニアリングで攻撃する競技だ
まず、それぞれの挑戦者には、標的となる企業の名前が事前に告げられる挑戦者は、オープンソースの情報だけを利用し、その企業を調査してレポートをまとめるそして競技の当日には、そこにあるガラスの防音ブースに入って、観客が見ている前で、標的の企業に電話をかけ、様々な情報を聞き出さなければならない」

──標的となる企業の名前は、まだ私たちには発表されてないですよね?

「まだ内緒当日、このスクリーンに表示されるよ」

──挑戦者は、どのように決めているのですか?

「挑戦希望者はウェブから申し込む通常だと 70 〜 100 人ぐらいの応募数だけど、今年は 200 〜 300 人だった今回は『なぜ参加したいのか』を自分で語るビデオも集めて、そこからトップの 18 人を選んだよ」

──SECTF という競技の歴史についてお伺いしたいのですが

「どこを『始まり』と考えたらいいのかな……この競技を始める前に僕たちは悩んだんだどうすれば楽しくなるか、白熱するのか、そして合法的にできるのか(笑)それを熟慮しながら計画するのに長い時間がかかったから
開催の歴史を説明すると、最初の年はたくさんの人々が怖がっていたねFBI まで『それは合法的なイベントなのか?』って、電話で尋ねてきたから、みんなちょっと神経質になっていたでも、今年で SECTF は 5 年目になるこの 5 年で、状況は素晴らしく良くなっているよ
たとえば初回は、30 人の観客しか入れない部屋で開催した今年のSECTFは、この数百人が入れる部屋で開催する
企業の態度も変わったよ最初の年は、多くの企業が僕らの競技に神経質な反応を示したでも昨年は、標的となった 10 社のうちの 9 社が、競技後に『我が社のセキュリティの問題を、どのように修復すればいいだろう?』って、向こうから僕たちに助けを求めてきたんだ」

──非常に面白いエピソードです

「でしょ最初の年とは反応が全く違ういま彼らは僕たちに対して、開放的になってくれているだから僕は、その点について、とてもポジティブに構えているよ」

──このコンテストで、あなたが最も重要視している目的は何なのかを教えてください

「いい質問だねソーシャルエンジニアリングは、企業に対するハッキングの中で、最も簡単な手法なんだ多くのハッカーは、エクスプロイトのコードを書くのに時間をかけているでも実際は、ただ電話をかけるだけで情報が手に入るそれでも多くの企業は、ソーシャルエンジニアリングがこんなにも危険だということを知らないそのダメージの大きさに気づかない
だから僕たちは、『スキルのない人間でも、いかに簡単にソーシャルエンジニアリングを成功させてしまうのか』を、ここで示しているんだ
挑戦者のほとんどは、ソーシャルエンジニアリングを仕事にしていない別の職業についている普通の人たちだそんな彼らが、ちょっとトレーニングを受けただけで簡単に成功してしまう僕たちは、それを見せたいと思っている」

──これまでの SECTF の開催で、改善してきた点はありますか?

「毎回、手法を変えているよたとえば最初の頃は、1 人ずつブースに入って、1 人ずつ電話をかけていた去年は同じ企業に対して『男性 VS 女性』の対抗戦になる形で攻撃したこのときは女性のほうが、いい成績を残したね
今年はタッグチーム戦なんだ一度に 2 人ずつブースに入って、2 人がかりで情報を聞き出すこれは近年、頻繁に行われた手口を模倣したものになっている最近は、複数人で情報を取り出すことが多いからね」

──この先、この競技はどのように変化していくのでしょうか

「それは僕も分からないたとえば昨年は、多くのハクティビストが『協力して』企業を攻撃しただから今年のようなタッグチーム戦が考案された
僕たちは、現実に起きている悪いソーシャルエンジニアリングにマッチした競技を開催して、そこから人々が学べるようにしたいどんなソーシャルエンジニアリングがよりリアルなのかを考えているもっとうまくやれるようにつまり『うまくやられないようにする方法』をもっと学べるようにしたいんだ来年はどうなるのかは、これから世界で起こること次第だね」

──SECTF を他国で開催したことはありますか?

「ソーシャルエンジニアリングのトレーニングは、様々な国で開いてきたけれど、SECTF はここでしか開催していないよこのラスベガスの DEF CON で、年に一度だけDEF CON は世界最大のハッカーコンベンションだから、比較的簡単にできるんだ群衆がいるし、エナジーがあるし……」

──他の国でも開催したい、あるいは年に何度か開催したいという気持ちはありますか?

「SECTF は、やらなければならない作業がとても多くてね挑戦者を募り、標的の会社を決める以外にも、スコアの採点や、あと弁護士にも相談しないと……チームでこなすことが山ほどあるから、年に二度は難しいだろうねどうかな、訊いてみようか
(たまたま通ったアシスタントの Michele さんに)ねえ、年に二回やりたい?
(はっきりと顔をしかめる Michele さんを見て)ああ、彼女はノーだって無理だね、彼女がボスだから(笑)」


●SECTF の合法性と、米国内での立場

──5 回目の SECTF、ここまでで最も困難だったことは何ですか?

「1 年目と 2 年目に、いくつかの大企業が米国司法省に電話して、僕たちのことを報告したんだ『なにかとても悪いことをしているようだ』ってねだから僕は司法省と FBI に呼ばれて、何をしているのかはっきりさせなければならなかったそれが困難と言えば困難だったね、なにしろ怖かったから逮捕されるのかな、どうなるんだろうって……」

──あの、どうしてそこで止めなかったのでしょうか

「いい質問だ(笑)! 頑固だから? 賢くないから? 分からないな僕は、自分がやっていることを本気で楽しんでいるだから続けているんだどうして止めなかったのか……これまで一度も考えたことがなかったな(笑)」

──逆に連邦警察や FBI から協力を求められることはありますか?

「あるよ2 年目の開催後、FBI に招かれて、僕は『SECTF が何をしているのか』を FBI のチームにブリーフィングした彼らはそれを学習に利用したよ
3 年目の開催後はペンタゴンに招かれて、僕らが何に成功したのかを教えることができた警察や政府機関は、こういった活動から学習しようとしているいまの僕たちは、近しい関係で働いている彼らには詳細情報も隠してない彼らの目的が『守り』である以上は協力したいと思っているよ」

──この競技は法的にきわどいと思うのですが、違法ではないですよね?

「この競技は完全に合法だよ(笑)たとえば米国では、そしてたぶん多くの国では、クレジットカード番号やSSN(Social Security Number:社会保障番号)を聞き出すことは違法になるパスワードや IP アドレスも違法となる可能性があるだから僕らは、それらを尋ねない
僕らが尋ねるのは、誰が企業のゴミの撤去を管理しているのか、カフェテリアにはどこのメーカーの販売機を設置しているのか、どんなタイプのコンピュータを利用しているのか、OS は何か、そのバージョンは何か、どんなタイプのブラウザを利用しているのか……
これらの質問に答えてしまうのは、ソーシャルエンジニアリングとしては、次の手を決める上で重要な情報だから実際には危険なんだけど、それを尋ねることは法に触れていない僕たちは、グレーゾーンの外側(白側)にいられるように努めているよ」

──標的となった企業から訴えられたことはないですか?

「訴えられたことは一度もないねある年の SECTF では、ある大手のソフトウェア会社に電話をかけて情報を聞き出したんだけど、彼らの結果は非常に良くなかった彼らは何でも話してしまったんだそのときの相手は本当に怒って、『訴える』とも言ったでも、僕らの弁護士と彼らの弁護士とで話し合ったから、いまはもう大丈夫」

──そのときの結果は発表されたのですか?

「結果は発表するけれど、『どの会社が何の情報を喋ったのか』という詳細は発表せずにスコアだけを公表しているんだこの会社がこんな情報を漏らした、って教えてしまうと、悪用される可能性があるからね」

──特別に優秀な弁護士を雇っていらっしゃるのではないかと思うのですが

「僕はビジネス弁護士と、ハッキング弁護士を雇っている」

──ハッキング弁護士、ですか?

「そう、彼女が扱っているのは、ほとんどハッキングに関わる案件で、ペネトレーションテストとハッキングに関する法の照らし合わせはすべて彼女に頼っている彼女は『僕の仕事上で必要となる事柄』という角度から法を調べるプロだ僕たちがトラブルに巻き込まれないためのルールを教えて、怪しいエリアに立ち入らないようにしてくれるもともと彼女は EFF(電子フロンティア財団)の弁護士で、様々なことを学んできた人だから経験豊富なんだ」

──そういった弁護士さんは米国に多いのですか?

「いやいや(笑)、とても珍しいよ本当に貴重だ」


●世界に広がるソーシャルエンジニアリング学習

──あなたのソーシャルエンジニアリングのトレーニングで得られる、具体的な効果を伺いたいのですが

「そうだねまず、僕のコースを受ける人はだいたい、セキュリティの分野で働いている一部の人々はペネトレーションテストにも従事しているんだけど
ある会社が、僕らのコースに数人のスタッフを受講させて、『ソーシャルエンジニアリングのスキルをどのように生かすのか』を学ばせたことがある
フィッシング、対話法、ボディランゲージ……それらの手法について、彼らは理解する能力を上げたその結果、57 〜 60 %程度だった彼らのペネトレーションテストの成功率は99 %まで上がった

だから、たくさんの人が僕のコースを受講してくれるでも彼らは、ただソーシャルエンジニアリングを学ぶだけではなく、生活でも使えるコミュニケーションを学んでいる彼らは、人生の多くのことが変わったと言ってくれているよ」
○越境ECのニーズが急拡大!

少子高齢化が進む日本の総人口は、将来的に大幅な減少へと向かうことが予測されている人口が減少すれば個人消費も縮小することから、EC事業においても海外の顧客を対象にビジネスを行う越境ECの気運が高まりつつある一方、円安等の経済的な要因もあり、海外から日本のECサイトを利用する越境ECユーザーの数は、年々増加傾向にある経済産業省の調べによると、米国や中国では、国外ECサイトの利用率は2012年に約半数にも達している状況にあるその金額規模は、中国が前年比13%増の1,096億円、米国が471億円となっており、潜在的な日本の越境ECの市場規模は1,500億円を超えると見られている

【もっとほかの写真をみる】

○越境ECに立ちはだかる4つのハードル

高まる越境ECのニーズを受けて、ECを実践する企業はもちろん、個人にとっても越境ECユーザー獲得のために、海外ユーザーを見越した対応が今後は重要になってくると言えようしかし、中小企業や個人の出店者が新たに越境ECに取り組むには、大きく4つのハードルが立ちはだかっている

まず1つ目は、言語のハードルだ国内ECサイトでの出店者間の競争が激化していることから、海外市場に目を向けて、とりあえずサイト内の記述を英語に翻訳して越境ECを始めようとする事業者は多いしかし単なる日常会話レベルであればブロークンな英語でも十分かもしれないが、越境ECの場合は相手に正しく商品情報を伝えることが最も重要となるそのため、サイトではビジネス英語での正確な表記が求められるのである

2つ目は、文化のハードルである国ごとに商習慣や消費者の文化には違いがあり、その国の事情に合わせた対応が必要になる例えば匂いに関する表記1つをとっても、国内では一般的な「爽やかな匂い」「匂いは気にならない」などのような曖昧な表現でも伝わるが、国外では「◯◯の香料の匂い」「湿気臭あり」といったように具体的な表現にしなければならない国や地域が多い

3つ目は、プラットフォームのハードルだ国内のECプラットフォームであれば、使い慣れているうえに、“痒いところに手が届く”ユーザーフレンドリーなつくりになっていることが多いしかし海外のECプラットフォームの場合、使い勝手に馴染みがないのに加え、利用者側にそれなりの知識が必要なものが多く、言語と合わせて大きなハードルとなってしまうのだ

そして4つ目は、国内外で共通した課題である在庫管理についてだ複数のECサイトに出店していると、同じ商品の注文が同時に入ったりすることがあるその際にきちんと在庫を確認せずに品切れの商品を受注してしまった場合、大きなトラブルにも発展しかねないしかし、ノウハウもリソースも乏しい小規模な事業者にとっては、リアルタイムかつ正確な在庫管理を行うことには困難が多いのも事実だ

○越境ECをトータルにサポートするサービスが登場

こうした越境ECのニーズの高まりと、事業者にとっての越境ECへのハードルの存在といった背景を受けて、越境ECでの海外の顧客とのコミュニケーションを、言語だけでなく文化や商習慣も踏まえて総合的にサポートするサービスもここにきて登場しているそれが、ピットクルーが展開している越境ECサポートサービスだこのサービスは、同社が2011年頃から行っているソーシャルゲーム企業などを対象とした、多言語サポートサービスの内容を越境ECに特化したかたちに進化させたものだ10カ国語以上の言語でカスタマーサポートを提供でき、メールでの対応を基本に必要に応じて電話でも対応できるサービスとなっている

ピットクルー、業務推進部 業務統括グループのグループ長、小松崎隆氏は、越境ECサポートサービスの開発経緯についてこう説明する

「もともと国内で複数のEC事業者向けにサポートやパトロールなど各種サービスを提供していたのですが、プラットフォーム側だけでなく出店側のお客様からもサポートに対するニーズが拡大していきましたそのためゲーム会社のお客様を中心に好評だった多言語サポートサービスを、越境EC事業者のお客様にも提供できればと、サービスの開発に着手したのです」

翻訳サービスでは、日常的な顧客とのやり取りのメール翻訳や、サイト登録時の翻訳などを実施する既に国内ECサイトに出店している場合であれば、事業者はそのデータをダウンロードしてピットクルーに提供するだけで越境EC向けの翻訳が完了するこの場合、海外のそれぞれのECサイトに必要となる情報を抜粋し、価格も現地の通貨に変換したうえで、正確に翻訳したデータが作成されて納品されるのである

また、翻訳を行う際には、一般的な言語の違いだけでなく、文化の違いにも考慮がなされるのが特徴となっている例えば、日本の場合はもともと多湿であるため湿気に関する匂いの説明などは一般的ではないが、米国ではそうした匂いの付いた商品は不良品だと捉えられることもあるそうした事態が起きないよう、海外の商習慣や文化に精通したスタッフが翻訳やアドバイスを行っているのであるそのためスタッフには、単純に外国語ができるだけではなく、実際に海外での生活経験のある人材を集めているという

「『この商品ならば航空便がいいのか?それとも船便がいいのか?』といった一般的な質問がお客様から寄せられることが多いですそのときには、相手先の国やお客様ごとの事情などを踏まえて、『この商品であれば、米国に発送するにはこの方法が最適ではなないでしょうか」といったアドバイスを行っています』(小松崎氏)

さらに、ebayをはじめとした海外のECプラットフォームへの出店サポートもピットクルーのサービスには含まれている先述のように国内ECサイトに出店済みの事業者であれば、データを各ECサイトに合わせたフォーマットに変換するところまでサポートするのである

そして同社が越境ECサポートの次のステップとして検討しているのが、商品の発送代行サービスだ

同社経営企画管理部の中生緑氏は言う「お客様へ行ったアンケート内に、『商品をつくることに専念したいので発送や決済を代行してほしい』といった声などがあり、そこまで踏み込んだサポートを展開すべく現在体制を整えているところです」

さらに、越境ECのサポートサービスを展開していくなかで、同社自身にも更なるノウハウが蓄積されていくことから、各国ごとのニーズに合った商品の選定やマーケティング方法など、将来的にはより広範囲でのビジネスのサポートも目指していくという

最後に小松崎氏は今後の抱負について次のように語った「日本の生活用品など、アジアで特に人気の高い商品は数多くありますSECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だiPhone4sケース激安SECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だiPhone4sケース激安SECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だiphone ケース ブランド
P R
カテゴリアーカイブ
月別アーカイブ
http://yaplog.jp/bvfdhgdg/index1_0.rdf