ホーム > 情報取扱編 > お役立ちツール > 情報セキュリティ事故事例集 > ソーシャルエンジニアリングによる情報搾取
情報セキュリティの基礎
  • なぜ情報セキュリティ対策が必要なのか~
    • 企業経営と情報資産
    • 情報セキュリティ対策の基礎
  • メールにおける情報セキュリティ対策
    • メールの使用に際してのセキュリティ
    • メールに伴うセキュリティリスク
    • 添付ファイル
    • 迷惑メール
    • 標的型攻撃メール
  • コンピュータを使う上での情報セキュリティ対策
    • マルウェアの脅威とその対策
    • ファイル共有ソフト
    • コンピュータの管理
    • 無線LANとモバイルデバイス
    • 新しいインターネットサービス
  • オフィスと日常業務の情報セキュリティ対策
    • オフィスからの情報漏えい対策
    • ソーシャルエンジニアリング
    • コンピュータ犯罪対策
    • 組織としての情報セキュリティへの取組み
  • 参考資料
    • 情報セキュリティ対策に役立つ情報集

情報取り扱い編
いまさら聞けない対策ポイント
  • 「情報セキュテリィ体制」をたずねられたら
  • 「書類・データの取り扱い方法」を
たずねられたら
  • お役立ちツール
  • 情報セキュリティ対策セルフチェック
  • 情報セキュリティ事故事例集
    • 電子メールの誤送信
    • オフィス内での書類の紛失
    • USBメモリの紛失
    • 廃棄先での情報漏えい
    • データの復旧
    • モバイルパソコンの紛失
    • アクセス権管理ミスによる情報漏えい
    • ソーシャルエンジニアリングによる情報搾取
    • 不正アクセスによる情報漏えい
    • ホームページを見るだけでウイルス感染
    • スパイウェアによるクレジットカード番号の漏えい
    • フィッシング詐欺
    • ファイル共有ソフトによる情報漏えい
    • ウイルス感染、原因はUSBメモリ
    • 社員の不正行為・顧客データの持ち出し
  • 情報セキュリティ様式集
ソーシャルエンジニアリングによる情報搾取
アメリカのある銀行の幹部が、セキュリティを専門に調査するプロフェッショナルに依頼し、自行のセキュリティチェックを行なった事例。
http://www.ntv.co.jp/FERC/research/19990606/f1231.html
結果として重要機密事項をコンピュータ上から抜き出すことに成功した。その手口は・・・。

  • 調査員は最初に銀行の新入社員を装い郵便室へ電話。外部への小包送付には行員番号が必要であることを確認。
  • 次に、広報室員を装って重役の行員番号を聞き出した。
  • その重役を装い、電話番号簿を配布している部署に電話し、外注業者を装った調査員宛に一冊送るように指示(この電話番号簿により銀行全体の体制や全従業員の名前・電話番号を把握)。
  • 今度は総務担当を装って情報部門に間違い電話をかけたり、社内各所からニセのアンケートを取るなどの方法で相手の行員番号とパスワードを聞きだした。
調査開始からわずか2日で手に入れた大量の行員番号とパスワードを使って、社内のコンピュータ回線経由でメインコンピュータに侵入し、銀行の最重要機密リストを抜き出してしまった。

ワンポイントアドバイス
社員や出入り業者の名を名乗られても、安心しないようにしよう
▲ページトップへ