セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、連載で、「今だから学ぶ!」と題して、セキュリティの頻出用語を解説します。第8回は、「ソーシャルエンジニアリング」についてです。
昨今は、「ソーシャル」と聞くと、フェイスブックなどの「ソーシャルメディア」を思い出す方も多いと思います。「ソーシャルエンジニアリング」も、「ソーシャルメディア」も、英語で「社会的な」という意味であるSocial (ソーシャル)が先頭についた言葉です。
ネットワークシステムへの不正侵入というと、ハッキングなどのコンピューターや、ネットワークの技術を利用して行うことをイメージする人が、多いのではないでしょうか? ソーシャルエンジニアリングは、そのような手法をとるものではありません。
ソーシャルエンジニアリングは、管理者、ユーザーなどから、盗み聞き、盗み見など「社会的」(それが社会的なのかどうは横に置き)な手段によって、パスワードなどの重要な情報を入手することです。
いくつか代表的な手法を紹介します。
・まずは、ショルダーハックです。クレジットカード番号やパスワードなどの重要な情報を入力するところを背後から盗み見するものです。例えば、外出先で仕事をしようと、社外のカフェでPCを使って作業をするとき、実は、後ろからパスワードを入力するところを見られていたといったような状況です。また、社員が社内でPCを使って作業をするとき、安心してパスワードを入力するでしょう。しかし、社内に攻撃者が入り込んでいれば、オフィスの席の後ろで盗み見されているかもしれません。
・IDやパスワードを覚えていられないために、ポストイットでディスプレイ周辺に貼り付けている人を見かけたことはないでしょうか? そのようなポストイットなどを瞬間的に見て暗記することに長けている人であれば、社内に潜入さえできれば、容易に情報を入手できます。また、情報漏えいは、社内犯行犯も多いことから分かるように、社員がそれらの情報を盗み見て、盗み出している場合もあります。
・会社の上司になりすまして、社外から電話して、「○○さん、XXシステムのパスワードを忘れたけど、パスワードを教えて欲しい」と指示をだすことで、情報を盗み出すということもあります。
・オフィスからでる書類などのゴミをあさるトラッシングという手法もあります。ごみ箱に捨てられた紙やメディアなどから、サーバーなどの設定情報、ユーザー名やパスワードといった情報を探し出します。
こういったソーシャルエンジニアリングの手法そのものは、古くから存在しています。昨今社会的問題になっている『振り込め詐欺』も同様の方法を使っていることを思い出す人もいるでしょう。これ以外にも、ソーシャルエンジニアリングの方法には、さまざまなものがあるため、万全な対策が取りにくいという点に注意してください。今回紹介した手法をお読みいただいても分かるように、これらは、ウィルス対策ソフトを導入しても、防ぐことはできません。
まずは、組織内部での機密情報の管理ルールの徹底が必要だということを理解してください。
社員の一人一人が注意しないと、適切な情報セキュリティを維持できません。企業全体で適切な対策を心がけるようにしてください。
