( 1 ) ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、ネットワークに侵入するための不正アクセスの手法です。ネットワークにアクセスするためのパスワードや、個人情報などの重要情報を、インターネットなどの情報通信技術を使用せずに入手する手法で、サイバー攻撃のような技術的な攻撃とは異なり、人間の心理的な隙をつくことから「心理的攻撃」ともいわれます。
通常、情報セキュリティについて考えるとき、多くの場合ウイルスやランサムウェア(※1)のような技術的な攻撃を想定しますが、ソーシャルエンジニアリングは手口としては大変アナログです。人間の脆弱性、人の善意といったものにつけ込むため、誰でも被害にあう可能性があります。
( 2 ) ソーシャルエンジニアリングの種類
ソーシャルエンジニアリングにはさまざまな種類があります。代表的な例は以下の通りです。
〈電話を利用する〉
何らかの方法でユーザ名を入手したのち、その利用者になりすまし、ネットワーク管理者に電話をかけてパスワードを聞き出します。逆に管理者になりすまして、利用者からパスワードを聞き出すこともあります。
〈ショルダーハッキング〉
パソコンでパスワードなどの重要な情報を入力しているところへ、後ろから近づいて覗き見ることです。肩(ショルダー)越しに覗くことから「ショルダーハッキング」と呼ばれます。
〈トラッシング〉
トラッシュは「ごみ」のこと。トラッシングとは「ごみを漁る」という意味です。ごみ箱に捨てられた紙や記憶媒体などの資料から、サーバやルータの設定情報、ネットワーク構成図、IPアドレス、ユーザ名、パスワードなどの重要な情報を盗み出します。
( 3 ) ソーシャルエンジニアリングへの対策
ソーシャルエンジニアリングから企業や組織を守るためには、重要情報を漏洩させないよう、日ごろから社員の意識を向上させておく必要があります。
- 電話で聞かれただけでは重要な情報は教えない
- パスワードなどの重要な情報を入力する際には周囲に注意する
- 重要な情報を廃棄する際にはシュレッダーにかける
- データが復元できないよう処理する
社員への基本的な意識付けを徹底することに加え、パスワードや重要情報に対するルールを決めて運用を行うことが大切です。
また、近年は標的型攻撃メール(※2)を使ったソーシャルエンジニアリングの手法も増えています。「至急確認をお願いします」「重要」など、緊急性をもたせたワードがある場合は注意が必要です。早く解決したい、穏便にすませたいといった心理が働き、思わぬ判断ミスや間違った行動につながってしまうケースもあります。
※1
ランサムウェア:ランサムは「身代金」の意味。パソコンを感染させてロックしたり、ファイルを暗号化したりすることで使えなくし、身代金を要求する不正プログラム。
※2
標的型攻撃メール:不特定多数を狙った迷惑メールではなく、特定の組織を狙ったウイルス付きメールのこと。
