ホーム > 情報取扱編 > お役立ちツール > 情報セキュリティ事故事例集 > ソーシャルエンジニアリングによる情報搾取
本サイトは2008年度から2013年度まで経済産業省の委託事業として実施した「中小企業情報セキュリティ対策促進事業(指導者育成セミナー)」のサイトです。本事業は2013年度で終了いたしました。 ここに書かれている内容は2013年時点から更新をしていないので、御利用の際には古いコンテンツであることをご承知おきの上御利用下さい。
情報セキュリティの基礎
  • なぜ情報セキュリティ対策が必要なのか~
    • 企業経営と情報資産
    • 情報セキュリティ対策の基礎
  • メールにおける情報セキュリティ対策
    • メールの使用に際してのセキュリティ
    • メールに伴うセキュリティリスク
    • 添付ファイル
    • 迷惑メール
    • 標的型攻撃メール
  • コンピュータを使う上での情報セキュリティ対策
    • マルウェアの脅威とその対策
    • ファイル共有ソフト
    • コンピュータの管理
    • 無線LANとモバイルデバイス
    • 新しいインターネットサービス
  • オフィスと日常業務の情報セキュリティ対策
    • オフィスからの情報漏えい対策
    • ソーシャルエンジニアリング
    • コンピュータ犯罪対策
    • 組織としての情報セキュリティへの取組み
  • 参考資料
    • 情報セキュリティ対策に役立つ情報集

情報取り扱い編
いまさら聞けない対策ポイント
  • 「情報セキュテリィ体制」をたずねられたら
  • 「書類・データの取り扱い方法」を たずねられたら
  • お役立ちツール
  • 情報セキュリティ対策セルフチェック
  • 情報セキュリティ事故事例集
    • 電子メールの誤送信
    • オフィス内での書類の紛失
    • USBメモリの紛失
    • 廃棄先での情報漏えい
    • データの復旧
    • モバイルパソコンの紛失
    • アクセス権管理ミスによる情報漏えい
    • ソーシャルエンジニアリングによる情報搾取
    • 不正アクセスによる情報漏えい
    • ホームページを見るだけでウイルス感染
    • スパイウェアによるクレジットカード番号の漏えい
    • フィッシング詐欺
    • ファイル共有ソフトによる情報漏えい
    • ウイルス感染、原因はUSBメモリ
    • 社員の不正行為・顧客データの持ち出し
  • 情報セキュリティ様式集
ソーシャルエンジニアリングによる情報搾取
アメリカのある銀行の幹部が、セキュリティを専門に調査するプロフェッショナルに依頼し、自行のセキュリティチェックを行なった事例。
http://www.ntv.co.jp/FERC/research/19990606/f1231.html
結果として重要機密事項をコンピュータ上から抜き出すことに成功した。その手口は・・・。

  • 調査員は最初に銀行の新入社員を装い郵便室へ電話。外部への小包送付には行員番号が必要であることを確認。
  • 次に、広報室員を装って重役の行員番号を聞き出した。
  • その重役を装い、電話番号簿を配布している部署に電話し、外注業者を装った調査員宛に一冊送るように指示(この電話番号簿により銀行全体の体制や全従業員の名前・電話番号を把握)。
  • 今度は総務担当を装って情報部門に間違い電話をかけたり、社内各所からニセのアンケートを取るなどの方法で相手の行員番号とパスワードを聞きだした。
調査開始からわずか2日で手に入れた大量の行員番号とパスワードを使って、社内のコンピュータ回線経由でメインコンピュータに侵入し、銀行の最重要機密リストを抜き出してしまった。

ワンポイントアドバイス
社員や出入り業者の名を名乗られても、安心しないようにしよう
関連リンク
▲ページトップへ