テールゲーティング - テールゲーティング
正規の入館者に紛れてセキュリティ区域に物理的に侵入する攻撃手法。
概念図
攻撃シナリオ
ピギーバッキング(同意ありの尾行入室)
bash
両手に段ボールを抱えた「宅配業者」風の人物がオフィスの
入口で「すみません、扉を押さえてもらえますか?」と依頼
→ 善意の従業員が IC カードで扉を開け、そのまま入館させる無同意のテールゲーティング
bash
喫煙所から戻る従業員の後ろにさりげなく続き、
扉が閉まる前に滑り込むテールゲーティングとピギーバッキング
テールゲーティング(Tailgating)は、認証済みの入館者の直後に続いて物理的なセキュリティ境界を越える攻撃です。
狭義にはピギーバッキング(Piggybacking)と区別されます。
| 用語 | 被害者の認識 | 典型的な口実 |
|---|---|---|
| テールゲーティング | 気付いていない(扉が閉まる前に滑り込む) | 不要(気付かせない) |
| ピギーバッキング | 気付いているが「親切心」で通してしまう | 「荷物で手がふさがっている」「IC カードを忘れた」「面接に来た」 |
攻撃者の狙いは物理的侵入そのものではなく、侵入後の 内部ネットワークへの直接接続、機密書類の撮影、未ロック PC への悪意あるコード埋め込み、サーバールームへの到達 です。
物理セキュリティが突破された時点で、多くの論理セキュリティ対策が無効化されます。
攻撃シナリオ
| シナリオ | 侵入口 | 狙い |
|---|---|---|
| 配達員なりすまし | 受付・従業員通用口 | 受付エリアで PC を使う / 廊下でプリンタ出力を持ち去る |
| 新入社員なりすまし | オフィスエレベーター・執務室 | 空席の PC にキーロガー USB を差す / Wi-Fi パスワードのメモを探す |
| 清掃員なりすまし | 業務終了後のオフィス | サーバールームの施錠確認を装って進入 / 放置された USB・紙資料の収集 |
| 面接候補者なりすまし | 会議室エリア | 会議室内の VC 機器からネットワーク接続 / ホワイトボードの撮影 |
| エンジニアなりすまし | データセンター | 「点検に来た」と申告してラックにアクセス。事前に業者の制服・ID 偽造を用意 |
物理侵入は「疑われない見た目と行動」が成功率を左右します。
攻撃者は事前にその組織の服装規定・出入り業者・受付フローを綿密に調査します。
物理セキュリティの多層防御
テールゲーティング対策は、1 つの対策で防ぐのではなく層で重ねることが基本です。
- マントラップ / セキュリティゲート: 前の扉が閉まらないと次の扉が開かない二重扉構造。物理的に 1 人しか通過できない仕組みで、尾行侵入を不可能にする
- 回転ゲート(フラッパーゲート): オフィス受付で一般的。IC カード 1 枚につき 1 人しか通過できない
- 防犯カメラと死角の排除: 入退室ポイントをカメラで 24 時間記録し、事後の検証を可能にする。録画だけでなく「監視されている」という抑止効果も重要
- ゲスト管理システム: 来訪者は必ず事前登録 + 受付での本人確認 + 入館証の貸与 + 必ず従業員が同行する運用
- 入館証の常時着用ルール: 誰もが入館証を見える位置に着けている文化があれば、入館証のない人物を見かけた際に声をかけやすい
- Clean Desk / Clean Screen ポリシー: 離席時の画面ロックと書類片付けで、侵入されても被害を限定する
- サーバールームの多要素認証: IC カード + 暗証番号 + 生体認証で、単独侵入を困難にする