ソーシャルエンジニアリング
ソーシャルエンジニアリングは、のぞき見してパスワードを盗む物理的なものや嘘をついて大事な情報を聞き出す心理的なものなど、技術的ではないハッキング方法。
代表的なやり方は、パスワードなどを入力している画面を後ろ(肩ごし)から見る「ショルダーハッキング」や、電話やメールで関係者になりすましてログイン情報などを聞き出す「なりすまし」など、どれも技術は必要なく地味ですが人と人の接触によって機密漏えいが起こる古典的かつ危険なものです。
そうね。でもソーシャルエンジニアリングでログイン情報を盗むことができれば、苦労してサーバに侵入する必要はなくなるの。
人間から情報が漏れるから防ぐことが難しいし、実は最も注意しなければいけないハッキングなのよ。
意味:ソーシャルエンジニアリングとは情報通信技術を使わないで行うハッキング
ソーシャルエンジニアリングは、システムの不正侵入などの「技術的攻撃」とは異なり、人の心理をついた「心理的攻撃」です。
暗証番号やログイン情報などの機密情報を盗むハッキング(クラッキング)の手口で、不正アクセスや機密情報の漏えいなどを最終目的としています。
人と人の接触によって起きるため、どんなにネットワークのセキュリティを頑丈にしても、ログイン情報を盗まれれば、簡単かつ安全にネットワークに侵入されてしまうのです。地味な手法ですが、実は最も防ぐのが難しいといっても大げさではないハッキング手法です。
ソーシャルエンジニアリングの代表的な手口
ネットワークのセキュリティを破るなど、いかにもハッキングらしいことはしません。
のぞき見などの日常にあふれる手法から、巧みにコミュニケーションをとって聞き出す詐欺のような手法など、手口はさまざまです。
ショルダーハッキング
ログイン情報などの重要な情報を入力しているところを肩越しから盗み見る手口です。言ってしまえばカンニング。銀行のATMなどでよく注意するようにと書いてありますよね。
とても原始的ですが、日常に潜む誰でも被害に遭う可能性のあるソーシャルエンジニアリングです。
具体的な手口
- 関係者になりすまして社内に侵入し、パソコン画面を盗み見る。
- カフェなどの公共の場で盗み見る。
- 電車などでスマートフォンをのぞかれる。
トラッシング
ゴミを漁って、機密情報を手に入れるという色々と汚い手口です。意外と個人情報が書かれたものを捨ててしまっている人も多いと思います。
以下のようなゴミの捨て方は要注意です。
こんな捨て方はダメ!
- 資料をシュレッダーにかけずに捨てた。
- データの入ったCDを使用不能にせずに捨てた。
- パスワードをメモした紙やふせんをそのまま捨てた。
機密情報が書いてある資料は必ずシュレッダーにかけましょう。
なりすまし
関係者になりすまし、直接人から情報を聞き出す手口です。ずばり詐欺の手口であります。
具体的な手口
- 取引先になりすまし、メールや電話で情報を聞いてくる。
- 上司や役員などの重役になりすまし、「急いでいるからログイン情報を教えろ」と言ってくる。
- 契約しているプロバイダなどになりすまし、ID情報を聞いてくる。
- 親しくなってから、ログイン情報などを聞き出してくる。
不法侵入
オフィスやビル内に直接侵入し、情報を盗み出します。
具体的な手口
- 清掃員になりすまして侵入する。
- 偽装した社員証や入室証を使って侵入する。
- 社員の後ろにくっついて入室する。
ソーシャルエンジニアリングの対策
対策としては、しっかり社内やチーム内でルールを決めておくこと。ログイン情報などを直接聞いてくる人はとりあえず疑うことです。
取引先として数年に渡りコミュニケーションをとり、十分に信頼関係を築いたところで機密情報を聞き出す計画的な犯行の被害も出ています。
親しくなった人といえど、秘密の情報は絶対に教えてはいけません。
具体的な対策
- 電話やメールでの機密情報のやり取りは禁止する
- パソコンやデスクにパスワードを書いたメモを貼らない
- 親しい人でも社外、グループ内の人に秘密情報は教えない
まとめ
- ソーシャルエンジニアリングは人間の心理やスキをついた「心理的攻撃」
- 人間から情報が漏れるので防ぐことが難しい
- ゴミを漁るなどのアナログなやり方から詐欺のような手口までさまざま
人から盗み見たり、聞き出すことができれば、わざわざシステムのセキュリティを破る必要がないのね。古典的だからこそ気をつけなきゃいけない手口だね。
そう。だからすぐに忘れちゃうからといって、パソコンにパスワードのメモを貼ったりすることは本当に危ないんだ。だれかさんみたいにね。
ギクッ!!
ハッキングというと、パソコンで難しいことしてサーバに侵入するみたいなのをイメージするけど…。なんかアナログな手口だね。