本サイトは2008年度から2013年度まで経済産業省の委託事業として実施した「中小企業情報セキュリティ対策促進事業(指導者育成セミナー)」のサイトです。本事業は2013年度で終了いたしました。
ここに書かれている内容は2013年時点から更新をしていないので、御利用の際には古いコンテンツであることをご承知おきの上御利用下さい。
ソーシャルエンジニアリングによる情報搾取
アメリカのある銀行の幹部が、セキュリティを専門に調査するプロフェッショナルに依頼し、自行のセキュリティチェックを行なった事例。
(http://www.ntv.co.jp/FERC/research/19990606/f1231.html)
(http://www.ntv.co.jp/FERC/research/19990606/f1231.html)
結果として重要機密事項をコンピュータ上から抜き出すことに成功した。その手口は・・・。
調査開始からわずか2日で手に入れた大量の行員番号とパスワードを使って、社内のコンピュータ回線経由でメインコンピュータに侵入し、銀行の最重要機密リストを抜き出してしまった。
- 調査員は最初に銀行の新入社員を装い郵便室へ電話。外部への小包送付には行員番号が必要であることを確認。
- 次に、広報室員を装って重役の行員番号を聞き出した。
- その重役を装い、電話番号簿を配布している部署に電話し、外注業者を装った調査員宛に一冊送るように指示(この電話番号簿により銀行全体の体制や全従業員の名前・電話番号を把握)。
- 今度は総務担当を装って情報部門に間違い電話をかけたり、社内各所からニセのアンケートを取るなどの方法で相手の行員番号とパスワードを聞きだした。
ワンポイントアドバイス
社員や出入り業者の名を名乗られても、安心しないようにしよう