たまに役立つセキュリティ豆知識 第104回

フィッシング詐欺やサポート詐欺なども亜種

ゴミ箱漁りも立派なハッキングです！「ソーシャルエンジニアリング」って何？

PCに侵入するのが難しければ、PCを使っている人間を騙せば良い!?

ゴミ箱漁りも立派なハッキングです

Ｑ：「ソーシャルエンジニアリング」ってなに？

Ａ：サイバー攻撃の手法の1つとされるが、システムの脆弱性を突くのではなく、人間の心理や行動の「隙」を突いて情報を盗み出したり、不正な操作をさせたりする攻撃手法の総称。

　心理的誘導、なりすましや詐称などのテクニックを使って、攻撃を受けた人に自ら誤った行動を取らせるのが特徴である。標的企業から出るゴミを漁って情報を得る、社員と友人関係になって情報を引き出すといった、ネット越しではない直接的行為もソーシャルエンジニアリングには含まれる。

　具体的な手口としては、実在する企業や公的機関を装って個人情報などを盗む「フィッシング詐欺」とその亜種が最近では目立つだろう。

　偽のサポートを装う「サポート詐欺」、SNSで親密関係を築いて金銭を要求する「ロマンス詐欺」、有名人がSNSで投資指南をすると偽る「SNS型投資詐欺」などさまざまだ。

　上記はいずれも人間の心理的弱点を狙うという点で共通している。攻撃を受けることで、ユーザーのアカウント情報、個人情報、クレジットカード情報などが窃取されるほか、金銭が奪われることもある。

　そのほか、ウイルス入りのUSBメモリーを標的企業の建物内に置いておくことで、社員が好奇心から社内PCに差すことを狙ったり、音声通話で公的機関を装うことで対応を急がせるという手口もソーシャルエンジニアリングの一手法である。

　ソーシャルエンジニアリング対策の基本は、何かと急がせる、怖がらせる、特別な存在であることを匂わせるといった誘導に気づくこと。「早急に対応しないといけない」「あなただけへのオファー」といった文言には注意するべきだ。

　メールやSMS、SNSのダイレクトメッセージ（DM）の内容は安易に信じず、含まれているリンクについてもまずは疑ってかかるべきだろう。