ソーシャルエンジニアリング
概要
ソーシャルエンジニアリングとは、特殊な知識や技術を使わず、覗き見や盗み聞きといった手段で、パスワードなど重要な情報を入手する手段を指す。
情報機器やネットワークなどへ、いかに堅牢なセキュリティ対策を費やしたとしても、最終的に情報を取り扱うのは人間であるため、ソーシャルエンジニアリングでは人間の隙や不注意を突いて攻撃を行う。
シーン
ソーシャルエンジニアリングには多種多様な手口があるが、代表的なものを例に挙げる。
まず、ノートパソコンやスマートフォン、タブレット端末、さらには銀行のATMなどで、パスワードや暗証番号を入力する際、背後から覗き見して情報を確認する方法があり、「ショルダーハック」と呼ばれている。
次に、電話で本人やIT管理者になりすまし、パスワードや個人情報を入手する方法がある。電話では本人と直接対面しておらず、声だけでは判別しにくい状況を利用している。特にIT管理者であれば、パスワードを聞かれるのは不自然なことではないと判断してしまい、簡単に教えてしまう可能性がある。
また、上司や役員になりすまし、立場上断りにくい状況を利用してパスワードを聞き出すケースもある。その他、ゴミを漁って情報を取得する方法があり、「トラッシング」と呼ばれる。
気を付けるべきポイント
特に外出先でパスワードを入力する際は、周りから見られていないか注意する必要がある。ノートパソコンやスマートフォン、タブレット端末の場合、覗き見防止フィルムを画面に貼りつけることで、覗き見を防ぐことができる。
電話応対の場合、会社貸与の携帯電話など、あらかじめ把握している電話番号以外からの問い合わせには、容易にパスワードを教えないようにするといった対策が考えられる。
トラッシング対策としては、個人情報や機密情報が記載された書類を廃棄する際にシュレッダーで処理することを徹底する、あるいは機密保持契約を取り交わした溶解業者に依頼するなどの対応を行うことが重要である。
