Tailgating

テールゲーティング（Tailgating）とは、正規の権限を持つ人物の後に続いて、認証なしにセキュリティエリアに侵入する物理的なソーシャルエンジニアリング手法です。権限を持つ人物がドアを開けた際に、その背後に密着して通過する行為を指し、ピギーバッキング（Piggybacking）とも呼ばれます。

テールゲーティングとピギーバッキングには厳密な区別があります。テールゲーティングは、権限保持者が侵入者の存在に気づいていない場合を指し、ピギーバッキングは権限保持者が侵入者に意図的にドアを開けてあげる場合（善意の行為を悪用）を指します。しかし、実際にはこれらの用語は同義で使われることが多いです。

この攻撃は技術的に極めてシンプルですが、非常に効果的です。多くの従業員は礼儀正しさから後続の人にドアを押さえてあげたり、配達員や業者を装った人物に対して疑いを持たずにアクセスを許可してしまいます。テールゲーティングはサイバー攻撃の物理的な足掛かりとして利用され、ネットワーク機器への物理アクセスやUSBデバイスの設置に繋がる危険性があります。

テールゲーティングの手法パターン

テールゲーティング攻撃には様々なパターンがあります。最も一般的なのは「両手がふさがっている」パターンで、攻撃者は段ボール箱や機材を両手で抱えた状態で、従業員の後ろからドアに近づきます。善意の従業員がドアを開けてくれることを期待する手法です。

配達員・業者偽装パターンでは、宅配業者の制服やIT業者の名札を偽造して訪問し、受付や従業員にセキュリティエリアへの案内を求めます。同僚偽装パターンでは、社員証をわざと忘れたフリをして、「カードを忘れてしまって…」と同僚に通してもらうよう依頼します。

物理セキュリティとサイバーセキュリティの接点

テールゲーティングによる物理的な侵入は、サイバー攻撃の起点となります。侵入者がサーバールームに到達すれば、ネットワークケーブルへのタップ設置、不正なネットワークデバイスの接続、USBデバイスの設置、機密文書の写真撮影など、多様な攻撃が可能になります。

ペネトレーションテストにおいても、物理的なソーシャルエンジニアリングテストの一環としてテールゲーティングの試行が含まれることがあります。これにより、組織の物理セキュリティの実効性を評価できます。

アンチテールゲーティング技術

テールゲーティング対策として、マントラップ（Mantrap）と呼ばれる二重ドアシステムが広く採用されています。2つのドアの間に小さな空間を設け、最初のドアが閉まってから次のドアが開く仕組みで、一度に1人しか通過できないように設計されています。

ターンスタイル（回転式改札）やスピードゲートは、ICカードや生体認証と連動して1人ずつの通過を制御します。最新のシステムでは、AIカメラを用いて通過人数をリアルタイムで計数し、認証回数と通過人数の不一致を検知する技術も実用化されています。

組織文化とテールゲーティング

テールゲーティング対策の最大の障壁は組織文化にあります。日本の企業文化では特に、後続の人にドアを押さえることが礼儀とされており、見知らぬ人の入館を拒否することに心理的抵抗があります。セキュリティポリシーと礼儀のバランスを取りながら、「お互いの安全のためにカードを提示してください」と依頼することが一般的なアプローチとなります。

• 01
  マントラップ・スピードゲートの設置：重要なセキュリティエリアの入口にマントラップや回転式ゲートを設置し、一人ずつの認証と通過を物理的に強制してください。サーバールームやデータセンターには必須です。
• 02
  多要素物理認証の導入：ICカードに加えて、指紋認証や顔認証などの生体認証を組み合わせた多要素認証を導入し、カードの貸借りやなりすましを防止してください。
• 03
  従業員のセキュリティ意識教育：テールゲーティングの危険性と対処方法を定期的に教育し、「不審者への声かけ」「カード提示の依頼」を組織の文化として定着させてください。報告した従業員を評価する制度も効果的です。
• 04
  訪問者管理の厳格化：すべての来訪者は受付での身元確認と訪問者バッジの着用を義務付け、担当者のエスコートなしでの移動を禁止してください。退館時のバッジ返却も確認しましょう。
• 05
  監視カメラとAI検知の活用：入退室エリアに監視カメラを設置し、AIによる人数計数や不審行動検知を導入してください。テールゲーティングの試行をリアルタイムで検知・警報できます。
• 06
  定期的な物理セキュリティ監査：ペネトレーションテストの一環として、テールゲーティングの試行を含む物理セキュリティ監査を定期的に実施し、対策の実効性を評価してください。