ソーシャルエンジニアリングとは、IT技術を使わずに物理的な隙、あるいは人の心理的な隙を利用して情報を搾取する方法です。
身近な例でいうと、家族や恋人のスマホ操作を(たまたま)のぞき見して、ロック解除のパスコードを覚えてしまうのも立派なソーシャルエンジニアリングです。
専門的な技術や知識を使わなくても、人の隙をつくことで、案外容易に情報は盗まれてしまいますので、誰でも日常的に被害に遭う可能性があると言えます
攻撃者はソーシャルエンジニアリングを利用して入手した情報を基に、標的型攻撃や不正アクセスを行なうのです。
そんなソーシャルエンジニアリングにはどんな手口があるかご存知ですか?
代表的な手口と事例をご紹介します。
悪意ある人が、関係者などになりすまして個人情報や機密情報を聞き出します。
電話やメールで直接連絡をとって行なうものの、直接対面しないので、なりすましに気づくには、状況や言葉尻に違和感がないか判断しなければなりません。
たとえば、次のような事例があります。
・取引先やサービス利用者になりすまして、パスワードの問い合わせや、パスワードの変更依頼をされる
・上司や役員になりすまして、「急いでいるからログイン情報を口頭で良いから教えて」と頼まれる
・警察や銀行などになりすまして、「ログイン情報がハッキングされました。確認を取りたいのでIDとパスワードを教えてください」と言われる
このように、顧客や従業員、上司・役員、弁護士、警察、役所、銀行などの名前を騙って、「至急」「重要」等の文言であおってくる問い合わせには注意が必要です。
その名の通り、ターゲットの肩(ショルダー)越しに情報をのぞき見する手口です。
たとえばこんな場面ではのぞき見されているかもしれません。
・カフェや公園などの不特定多数の人がいる場でのパソコン作業
・混み合った電車やバスの車内でのスマホ操作
・オフィスの清掃作業員や業者がパソコンや資料付近で作業をしている
ほかにも意外と多いのが、ID・パスワードをメモした付箋をパソコンに貼っている人。
清掃員や作業員になりすました悪意ある侵入者に見られていますよ!すぐにやめましょう!
ごみ箱をあさって、情報収集をします。
こんな情報をそのまま捨てて攻撃者に見つかってしまったら、オフィスのネットワークに侵入されてしまったりアカウントを乗っ取られたりしてしまいます。
・ログイン情報(ID・パスワード)の書かれたメモやUSBメモリー
・サーバーやルーターの設定情報、ネットワーク構成図などの印刷された資料
・顧客や取引先情報の記載された資料
また最近では、郵便受けをあさるトラッシングがとくに問題視されています。
郵便物に記載されているIDや請求書番号を利用して、本人になりすまし、アカウントを乗っ取ってしまう被害も多く出ています。
ソーシャルエンジニアリングは、システムなどの技術的な脆弱性を突いた攻撃とは異なり、人の心理や隙を突いた攻撃手法です。
社員に対して、情報管理についての教育を浸透させることが大切です。
ソーシャルエンジニアリングの手口や事例を紹介・共有するだけでなく、情報管理のルールを設け、皆で徹底しましょう。
たとえば、
・USBメモリーや書類、メモを誰でも手に取れるような目に付く場所に放置することはやめる
・離席中に覗かれたり操作されたりすることのないようにスクリーンセーバーを設定する
・不特定多数の人がいる場で、機密情報を含む会話をしたり、そのような資料の閲覧や編集作業をしたりしない
・書類を処分するときはすべて必ずシュレッダーにかける
また、部外者が自社の保有する機密情報に物理的に近づく機会を与えないようにする仕組みづくりも有効です。
オフィスのエントランスや特に、重要資料・基幹システムなど置かれている部屋には、顔認証や生体認証による入退室管理システムを導入して、部外者の侵入を防ぎましょう。
いかがでしょうか。
ソーシャルエンジニアリングによる手口は、私たちのふとした何気ない「油断や隙」を巧妙についてきます。
手口や事例を知っておくだけで、いざという時に「こんな状況、どこかで聞き覚えがあったな…!」と冷静に判断することに役立ちます。
オフィスの窓口.comでは、セキュリティ対策についてもワンストップでサポートしております。
ぜひお気軽にお問い合わせください。
【関連コラム】
「ソーシャルエンジニアリング」という攻撃手法を知っていますか?
この手法を使って攻撃者は、私たちの何気ない隙を利用したり巧みにだましたりして、重要な情報を盗み出していきます。
企業の大切な財産や機密情報を搾取されることのないよう、しっかりと対策を身につけましょう。