ソーシャルエンジニアリングについて

株式会社エアー 直野 智仁

近年、ハッキングやウィルスといったサイバー攻撃の増加がニュースなどで取り上げられ、様々な企業や団体でシステム上でのセキュリティ対策意識が高まっています。しかし、情報を盗まれるのはシステムからだけではありません。
人の心理的な弱みを狙って個人情報やパスワードを盗む攻撃手法をソーシャルエンジニアリングと呼び、これはシステム面での対策が難しい攻撃手法です。例えば、以下のような方法が挙げられます。

①なりすまし

顧客など企業の関係者を装って、電話・メールなどの媒体で「パスワードを忘れたので教えてほしい」、「システム上のトラブルでアカウント情報を確認したい」と言い、システムのログイン情報を聞き出す。至急などと言い、対応している人間を焦らせて正常な判断をできなくさせるケースも多い。
対策:
IDやパスワードの問い合わせには、折り返して連絡すると伝え本人確認を行ってから回答する。

②のぞき見

オフィス内に入ってメモや書類からアカウント情報を盗んだり、パスワードの入力中に肩越しにキー入力を覗き見たりして情報を盗む。
対策:
・パスワード入力時はなるべく回りに人がいないか確認する。
・離席時は人に見られない場所に書類をしまう。

③トラッシング

ゴミとして廃棄される書類から情報を盗む。
対策:
業務上の機密書類は裏紙に転用せず、シュレッダーなど社内で規定されている方法で処分する。
※最近ではリモートワークの機会も増えたので、自宅でのメモの処分方法なども確認が必要です。

今回はよく使われる手法の一部を紹介させていただきました。本コラムがソーシャルエンジニアリング対策の意識付け・再確認の機会となれば幸いです。

タイトルとURLをコピーしました