ソーシャルエンジニアリングとは?
「ソーシャルエンジニアリング」とは、パスワードなどネットワークに侵入するための情報を、コンピュータを使わずに盗み出す手法です。
主に、人の心理的な隙や行動的なミスにつけ込んで盗み出します。
以下に、具体的なソーシャルエンジニアリングの手法として代表的なものをいくつか挙げました。
ソーシャルエンジニアリングの主な種類
ソーシャルエンジニアリングの主な種類としては、「電話で聞き出す」「覗き見る」「ゴミ箱をあさる」といったものが挙げられます。
それぞれくわしく見ていきましょう。
パスワードなどを電話で聞き出す
何らかの方法でIDやユーザー名などを入手した後、その利用者になりすましてネットワーク管理者等に電話をかけ、パスワードを教えてもらったりパスワード変更を申し出たりする手法です。
また、管理者側の人間になりすまし、ユーザーに電話をかけてパスワードなどを聞き出すというケースもあります。
こうした手法に有効な対策は、“電話では絶対にパスワードなどの情報を答えない”と認識しておくことです。
入力内容を背後から覗き見る(ショルダーハッキング)
パスワードをはじめとした重要な情報を入力している人の背後から近付き、肩越しに覗き見る手法です。
この手法に対しては、社内など安全と思われる場所であっても“重要な情報を入力するときには周囲に十分注意する”という対策が基本です。
ゴミ箱をあさる(トラッシング)
ネットワークに外部から侵入するために必要な情報を、ゴミ箱をあさって収集する手法もあります。
ゴミ箱に捨てられている資料やメモなどから、例えばIDやパスワード、サーバーやルータの設定情報、IPアドレス、ネットワーク構成図などの情報を探し出すのです。
この手法に対しては、“重要な情報が含まれた資料などをゴミ箱に捨てる際には、シュレッダーを使用したり溶解処理をしたりする”という対策が基本となります。
常に警戒心を持って行動することが大事!
ソーシャルエンジンアリングの手口は、常に進化し続けています。
そのため、重要となるのは、“常に警戒心を持って行動すること”です。
企業の情報資産が漏えいした場合には大きな損害が生じるということをしっかり認識し、ソーシャルエンジニアリングに対しても徹底した対策を心掛けましょう。
