なんとなくわかる「ソーシャルエンジニアリング」

スポンサーリンク

ソーシャルエンジニアリングとは

ソーシャルエンジニアリング(social engineering)とは、不正アクセスの手法の1つでハッキングや盗聴、サイバー攻撃など情報通信技術を利用しないで人間の行動のミスや心理の隙を利用してパスワードやIDなどの重要な情報を盗み出す方法です。

情報セキュリティで1番の弱点は「人間」です。いくらセキュリティ対策が十分に取れている企業であっても人間の手によってパスワードがバレてしまったり個人情報が流出してしまうのは情報セキュリティによって防ぐことはできません。

友達がスマホにパスワードを打ち込んでいるの見てなんとなくパスワードがわかってしまったり、電話している人から名前や電話番号が聞こえてきたりすることは誰しもがあると思いますが、ソーシャルエンジニアリングはそのような形で自然に相手から情報を聞き出したり、情報を盗み見たりします。

ソーシャルエンジニアリングの手法

なりすまし

この方法では、電話する相手が知っているような人物になりすまして電話してパスワードや個人情報を聞き出します。なんらかのサイトに会員登録しているIDのパスワードを知りたい場合に本人を偽ってサイトの管理者に電話をかけてパスワードを聞き出したりします。

今も横行しているオレオレ詐欺の手法とおおよその流れは同じですが、金銭を取られるわけではないのでこちらの方が成功率は高そうです。

電話以外にも身分を偽って家に訪問して個人情報を聞き出したりするパターンも存在します。

対策として、電話であれば番号の確認や電話相手がなりすましていないことの確認、前提として個人情報などの重要な情報を教える際に細心の注意を払うことも重要です

ショルダーハッキング

ショルダーハッキングは、パスワードや個人情報を入力している人間の後ろに立つなどして入力している情報を盗み見るソーシャルエンジニアリングの手法です。

カフェや電車など不特定多数がいる環境でショルダーハッキングは行いやすく、入力している本人も後ろから見られていることに気づかない場合が多いです。

対策としては、不特定多数の人間の目がある環境でパスワードの入力を行わないことが重要です。他にも覗き見防止のシートをディスプレイに貼り付けることも有効です。

トラッシング

トラッシングは、企業や家庭のゴミ箱を漁って個人情報やパスワードを探し出すソーシャルエンジニアリングである。

標的型攻撃にも使われ、標的となっている企業に清掃員や警備員として働くことで怪しまれることなくトラッシングを行いシステムの設定やネットワークの設定などの資料を見つけて標的型攻撃の足がかりにすることができます。

対策としては、重要な情報を破棄する時はシュレッダーにかけて認識されないようにしたり、書類を溶かしたりするなどの再認識不可な状態にすることです。

侵入

この方法は個人にはすることはできないが、企業などの建物に社員の同伴者や関係者を装って侵入して掲示物や張り紙を見て重要な情報を取得します。

企業のシステムのメンテナンスの日付やネットワークの変更などの情報からその前後の時間を狙って攻撃を仕掛けることで新たな脆弱性を見つけてゼロデイ攻撃を仕掛けることができます。

対策としては、入構のためのICカードを用意するなど誰が入ったかの管理ができるようにしたり、事前に入構する人間の情報を警備員に共有するなどして侵入者が訪問した時に関係者でないことがわかるようにすることが大切です。

ソーシャルエンジニアリングの包括的な対策

ソーシャルエンジニアリングは最初にも言った通り、情報セキュリティのなかで1番の弱点となるのは「人間」です。人間のセキュリティの意識を高めることが一番のソーシャルエンジニアリングの対策となります。

情報セキュリティのなかで人間への脅威を人的脅威と言います。この人的脅威の対策を下の記事にまとめたので是非参考にしてください

コメント

タイトルとURLをコピーしました