情報セキュリティの基礎
14-2 ソーシャルエンジニアリングの手口と対策
構内侵入
「構内侵入」は、実際に建物内に侵入する行為です。以下のような方法でオフィスに侵入します。
オフィスへの侵入に成功したあと、目的の情報を収集するため、ゴミ箱を探す、システムに不正侵入する、のぞき見をする・・・などの行動に移ります。
  • 偽造または拾得したIDカードで社員として入る
  • カードリーダーなど機械によるチェックを行う扉の場合、他の社員の後ろに付いて一緒に入る
  • 清掃員や回収業者として(なりすます、実際に仕事に就くなど)入る
  • 他の用件で訪問したついでに、他の部署に入る
入退室管理によるセキュリティ対策の強化
企業では社員の他にさまざまな訪問客に加え、派遣社員、アルバイト、パートなど、多様な勤務形態の従業員がオフィスを出入りします。オフィスへの入退管理を強化して、正当な用件のない部外者を社内へ不正に侵入させないようにしましょう。
  • オフィスの施錠管理を行う
  • 入退室の履歴を記録に残す(台帳記入など)
  • 身分証を発行し、従業員に携帯させる
  • 出入りが激しい場所については、不審者がいないかどうかを常に留意する
また、可能ならば、以下のような対策を実施すると、より効果的です。
  • セキュリティカードなどで出入り口の制限を行う
  • 出入り口に守衛を配置したり、監視カメラを設置したりする
  • バイオメトリクス(生体認証)など、より強固なシステムを導入する
なりすまし
不正アクセスの標的となる部署や個人に電話をかけ、ユーザIDやパスワードを巧みに聞き出す行為です。 
社員になりすます
  • 社員を装ってシステム管理者に電話をかけ、
    「パスワードを忘れてしまったので教えて欲しい」
    「今日から出社した中途社員だがIDとパスワードがわからない」
    などと言って聞き出す。
プロバイダなどのシステム管理者になりすます
  • 個人でプロバイダを利用しているユーザに電話をかけ、
    「システムのメンテナンスのためユーザIDとパスワードを確認させていただきます」などと言って聞き出す
  • 会社の契約しているプロバイダを名乗り、
    「御社の情報部門からの委託で社員番号とIDパスワードのチェックをおこなっている」などと言って聞き出す
システム管理者を名乗るだけで信用されやすい、という盲点を突いています。
企業のエグゼクティブになりすます
標的となる社員と面識のない役員が誰かを事前に調査し、その役員になりすまします。「ログインできない。急いでいるのでなんとかしろ。」など高圧的な態度で迫り、答えざるを得ない雰囲気を作って聞き出します。
手段は電話だけではない
電話だけでなく、さまざまな媒体が使用されます。
  • 葉書などでアンケートを装って情報を収集する
  • メールのヘッダーを偽装し、なりすましメールを送ってだます

電話によるなりすまし対策
電話で、IDやパスワードなどに関する問い合わせを受けた場合、安易に教えないようにし、なりすましによる漏えいを防ぎましょう。
  • 折り返し連絡をし、本人確認を行ったうえで質問に答える
  • 公衆電話など、本人が特定できない電話からの問い合わせには答えない
上記のほか、情報セキュリティポリシーなどに、「ID、パスワードの再発行は、本人が直接システム担当部署に出向いて手続きを行う」などの規定をおこなっている企業もあります。オフィスのルールとして、電話対応での対策を徹底するようにしましょう。
のぞき見
オフィス内では、さまざまな場所に情報が露出しています。オフィスに入り込むことができれば、情報をのぞき見ることは容易です。よくある例は以下の通りです。
  • ディスプレイの周りに貼られている付箋やメモ
  • キーボードで入力中のパスワード
  • 机の上に放置された情報
  • FAX、プリンタに放置された印刷物
トラッシング
トラッシング(Trashing)は、ゴミとして廃棄されるなど、不要となったものの中から目的とする情報を探し、取得する方法です。スカベンジング(Scavenging)ともいいます。
オフィスでこんなことをしていませんか。
  • 顧客リストを印刷したら、プリンタが紙詰まりしたので捨てた
  • 社外秘の内容の回覧を、部署内で回し終わったので捨てた
  • 使い古しのフロッピーディスクを捨てた
どのようにして盗むのか
  • 深夜に、目標とする企業のゴミ収集所に行って探す
  • 清掃員としてオフィスに入り込んで探す
  • 回収業者として目標とする企業からゴミを持ち去る
  • 裏紙をメモとして利用している店舗や窓口を調べ、何かと口実をつけてメモをもらう
▲ページトップへ