Ederor

システムに侵入するにはまずは人から?ソーシャルエンジニアリングについて解説!

システムに侵入するにはまずは人から?ソーシャルエンジニアリングについて解説!

ソーシャルエンジニアリングという言葉をご存じでしょうか?

ソーシャルエンジニアリングは身近に潜むセキュリティ上の脅威です。

是非覚えてみてください。

  • ソーシャルエンジニアリングとは?
  • ソーシャルエンジニアリングの手法
  • ソーシャルエンジニアリングへの対策
  • 狙われる情報保持者

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングは、ITの技術を使わずに、ユーザーやシステムのパスワード等の機密情報・管理者権限を入手することを言います。

システムはどんな高度なシステムであっても、人の手を介して保守やメンテナンスが行われているため、ソーシャルエンジニアリングは、こうした人の手を介する部分を狙います。

高度なセキュリティシステムが増えている昨今、システムの一番の脆弱性は人の手を介するものや、人間の作業を要する部分になります。

攻撃者は弱い部分から攻撃を行うのが常なので、今後もソーシャルエンジニアリングによる攻撃の増加や、高度化が見込まれています。

たとえ、セキュリティが高度なシステムであっても、最終的にはそのシステムの管理者権限を持つ人の意思によって動かされています。

管理者権限を持つ人間が、何かしらの脅迫を受け、システムに攻撃を仕掛けるといった可能性もゼロではありません。

また、ソーシャルエンジニアリングは、心理的な訴えかけをすることが多く、企業の担当者に緊急性をアピールして担当者をせかしたり、堂々と行動して担当者の不信感を払拭したうえで訴えかけたりしてくるなど、あらゆる手が使われます。

ソーシャルエンジニアリングの手法

ソーシャルエンジニアリングの手法についてですが、代表的なものには以下の3つがあげられます。

多様な攻撃手法があるソーシャルエンジニアリングですが、まずは以下の攻撃手法を知ることで、広範な対策がとれるようになります。

ショルダーハッキング

ショルダーハッキングは、その名の通りショルダー(肩)越しからログイン時のパスワード情報などを盗み見ることをいいます。

手法は簡単ですが、確実にログイン情報を盗むことができるため、侮ってはいけません。

誰でもショルダーハッキングは行うことができるため、認証情報の入力時などは周囲に注意してから入力を行うようにしましょう。

スキャベジング

スキャベジングとは、ごみをあさるなどの意味をもちます。

ここでいうごみとは、使わなくなった書類やハードディスクなどの記録メディアのことをいいます。

スキャベジングでは、これらを回収して解析を行うことにより、情報を探ります。攻撃者は、こうした情報の中に、個人情報やパスワード情報などの情報を見つけ、悪用しようとします。

盗聴

盗聴は、会話の中から情報を盗み出すことを言います。

カフェなどの共有スペースでの電話や、会議は盗聴されることが多く、会話の中から情報を盗まれる可能性があるので注意が必要です。

これはパスワードなどのシステムに関する情報にかかわらず、企業の経営情報や顧客情報なども貴重な情報なので、第三者に聞かれる恐れのある場所での会話は注意しましょう。

ソーシャルエンジニアリングへの対策

ここまで解説してきた通り、ソーシャルエンジニアリングによるテクニックは様々です。

ソーシャルエンジニアリングの対策についても、同様に様々な対策があります。

常日頃の小さな気遣いにより、ソーシャルエンジニアリングへの対策ができますので、まずは小さいことから意識的に始めるようにしましょう。

先ほどご説明した、ショルダーハッキングを防ぐためには、パスワードや何かしらの認証情報を入力する際は、人目を気にする・もしくは人がいない場所で行うことで対策をします。

スキャベジングについては、ドキュメントをシュレッダーにかけたり、物理的にデータが保存されているものを破壊したりしてから捨てるなどの対策が挙げられます。

そして、盗聴を防ぐ場合には、人がいる場所で会話しない・小さな声で周囲を気にしながら話すといった対策が挙げられます。

上記のように、ソーシャルエンジニアリングへの対策は日々の行動を変えるところから始まります。

最近では、2段階認証が多くのシステムに取り入れられており、これにより、パスワード情報を盗み見られたり、ID情報が何かしらの方法によって盗まれた場合でも、セキュリティが突破されないようになっています。

こうした、新しいセキュリティ対策も今後増えていくと思いますが、まずはパスワードを入力するときは周囲の目線に注意するなど、小さな行動を変えるだけでも、セキュリティリスクは大きく低減しますので、セキュリティを意識して日頃の生活を過ごすようにしましょう。

狙われる情報保持者

ここまで、ソーシャルエンジニアリングについてご説明してきました。

ここまで読んで頂ければ、なんとなくソーシャルエンジニアリングについてわかっていただけたのではないでしょうか。

ソーシャルエンジニアリングは、「人」をターゲットとして行うことが多く、日頃からのセキュリティ意識が大切になってきます。

特に、経営者やエンジニア、経理の担当者などは機密情報を多く知っているため、狙われる可能性が高いので注意が必要です。

情報資産を多く取り扱う人間は、常に外部の攻撃者に狙われているという意識を持ってください。

過去、電話でのなりすましにより、パスワードが流出した事例などもあります。

こうしたセキュリティ事故は、担当者の先入観を利用される場合が多いので、セキュリティ事故を起こさないためにも、過去の事故奨励や、攻撃手法を把握して、自身が被害にあわないように気を付けましょう。

About The Author

KENKO HOSAKA

Recent Posted

Leave A Reply

*
*
* (公開されません)

Share / Subscribe
Facebook Likes
Tweets
Hatena Bookmarks
Pinterest
Pocket
Evernote
Feedly
Send to LINE
UA-177436415-1