Q. 「ソーシャルエンジニアリング」ってどんな技術?? A. ネットワークやコンピュータの技術を用いずに、人間の心理や社会の盲点を突いて、機密情報を入手する手口(方法)のことです。 |
心理的な弱点を突く「技術」
ソーシャルエンジニアリングとは、言葉巧みにパスワードを人から聞き出したり、文書やCD/DVDなどの廃棄物をあさり重要な情報を読み取ったり、社員や関係者になりすまして情報を盗み見・盗み聞きすることをさす。ソーシャルワーク、ソーシャルハッキング、ソーシャルクラッキングとも呼ばれる。
セキュリティというと、ファイアウォール、ウイルス対策ソフト、暗号化、生体認証など技術的な対策を連想するだろう。しかし、情報を狙う攻撃者がターゲットの機密情報を入手するために、ネットワークやコンピュータを利用して難しい技術を駆使しなければならないというルールはない。彼らの目的は情報を入手することであって、難しい技術を駆使することではない。状況に応じて使える手口を目的のために選択しているにすぎない。
どんなに高度で優れたセキュリティ技術を導入したとしても、それを利用し、管理するのは人間である。そこには、ITの技術を駆使しなくとも、人間の心理あるいは行動における盲点やミスを突いて、不正に機密情報を入手できる可能性がある。そのためソーシャルエンジニアリングと称される手口が成り立つのである。 いくつかソーシャルエンジニアリングの例を挙げてみよう。
ゴミの中から情報を入手する
ゴミ箱に棄てたゴミは、よほどのことがな限りだれも好んで取り出したりしない。ゴミ=汚いものという心理が働き、たった今棄てたばかりの紙であっても拾い出そうとはなかなか考えられない。このことが、ゴミ箱を好んであさる人はいないというスキを生む。この心理的なスキをついて、攻撃者はオフィス・ビルの清掃員を装ってゴミ箱にすてられた機密情報を入手するのである。このようなゴミの中から情報をあさる手口は「トラッシング(Trashing)」あるいは「スキャベジング(Scavenging)」と呼ばれるもので、ゴミに対する危機意識の低さを狙ったものである。
近頃はセキュリティに関する教育・訓練が徹底しており、機密文書を専門に処理するサービスを利用したり、シュレッダーなどの機器で再現が困難なほどに裁断したりする方法が採られている。だれもが機密文書を適した方法で処理していることだろう。
しかし、それでもゴミあさりの手口で機密情報がもれる可能性がなくなったわけではない。たとえば、ユーザーIDやパスワードを付箋紙に書き留めたことがだれでも一度や二度あるだろう。その付箋紙のメモを利用したあと付箋紙を適正に処理しているだろうか。案外クシャクシャッと丸めてゴミ箱へ棄てているのではないだろうか。
日常の業務では、よく使うA4用紙の印刷物については社外秘の情報が含まれていることが多く適正に処理しているだろう。その一方で一時的なメモとして使用している付箋紙にはあまり重要な情報を記述することがなく、用が済めばゴミ箱に棄てているだろう。このような習慣が徹底していると、いつしか紙片の大きさと重要性を混同してしまい、重要な情報をメモした付箋紙をゴミ箱に無意識に棄ててしまうかもしれない。
ゴミ箱あさりの手口は、危機意識の低さばかりでなく、このような日常の行動から生まれるスキを狙った方法ともいるのである。
(次ページ、「組織を利用して情報を入手する」に続く)
この連載の記事
-
第6回
TECH
メールの誤送信を防ぐにはどうしたらいいの? -
第5回
TECH
携帯電話は盗聴される可能性がある? -
第4回
TECH
正しいURLなのに偽サイトに飛ばされる「ファーミング」とは? -
第3回
TECH
情報セキュリティのCIAを知っていますか? -
第1回
TECH
いまさらですが「情報セキュリティ」とは、なんですか? - この連載の一覧へ