インシデント事例紹介とその対策~ソーシャルエンジニアリング編<事例>~
| ソーシャルエンジニアリング 事例 | ソーシャルエンジニアリングへの対策 |
近年、企業からの情報漏えいの事故や事件が後を絶ちません。企業の情報には、顧客や社員などの個人情報も含まれており、個人情報漏えいの問題は、現在もっとも深刻な問題のひとつといっても過言ではないでしょう。
情報を取り扱う主体は人間です。技術的な対策も重要ですが、情報を取り扱う主体である「人」の管理の重要性が高まっています。不正アクセスや社員の不正による情報漏えいだけでなく、第三者の物理的侵入によって情報が流出する場合もあります。「ソーシャルエンジニアリング編」では、第三者による物理的侵入などへの対策について学びます。
情報を取り扱う主体は人間です。技術的な対策も重要ですが、情報を取り扱う主体である「人」の管理の重要性が高まっています。不正アクセスや社員の不正による情報漏えいだけでなく、第三者の物理的侵入によって情報が流出する場合もあります。「ソーシャルエンジニアリング編」では、第三者による物理的侵入などへの対策について学びます。
ソーシャルエンジニアリングの定義
ソーシャルエンジニアリングは、もともと日本語では「社会工学」と訳されており、学問のひとつとして理解されてきました。「社会工学」は、人間の社会的行動を科学的に研究し、社会生活上の実際問題を解決する学問です。
不正アクセスの手段としてのソーシャルエンジニアリングを定義すると、おおよそ以下の通りです。
ソーシャルエンジニアリングには様々な手法があります。巧妙な手法で目的の企業に入りこみます。
不正アクセスの手段としてのソーシャルエンジニアリングを定義すると、おおよそ以下の通りです。
ソーシャルエンジニアリング
ネットワークシステムへの不正侵入を達成するために、コンピュータの技術やネットワークの技術を利用するのではなく、侵入に必要なID、パスワードや、企業の機密情報などを、物理的手段(あるいは心理的な手段)によって獲得する行為
最近では、企業、個人を問わず、不正アクセスを目的とした第三者に、いつのまにか情報を収集されているケースが増えています。
ネットワークシステムへの不正侵入を達成するために、コンピュータの技術やネットワークの技術を利用するのではなく、侵入に必要なID、パスワードや、企業の機密情報などを、物理的手段(あるいは心理的な手段)によって獲得する行為
ソーシャルエンジニアリングには様々な手法があります。巧妙な手法で目的の企業に入りこみます。
なりすまし
不正アクセスの標的となる部署や個人に電話をかけ、ユーザIDやパスワードを巧みに聞き出す行為です。
「パスワードを忘れてしまったので教えて欲しい」
「今日から出社した中途社員だがIDとパスワードが分からない」
などと言って聞き出します。
社員になりすます
社員を装ってシステム管理者に電話をかけ、 「パスワードを忘れてしまったので教えて欲しい」
「今日から出社した中途社員だがIDとパスワードが分からない」
などと言って聞き出します。
ISPなどのシステム管理者になりすます
- 個人でISP(Internet Services Provider:インターネットサービスプロバイダ)を利用しているユーザに電話をかけ、「システムのメンテナンスのためユーザIDとパスワードを確認させていただきます」などと言って聞き出す
- 「御社の情報部門からの委託で社員番号とIDパスワードのチェックを行っている」などと言って聞き出す
企業のエグゼクティブになりすます
標的となる社員と面識のない役員が誰かを事前に調査し、その役員になりすまします。「ログインできない。急いでいるのでなんとかしろ。」など高圧的な態度で迫り、答えざるを得ない雰囲気を作って聞き出します。
手段は電話だけではない
電話だけでなく、さまざまな媒体が使用されます。
- 葉書などでアンケートを装って情報を収集する
- 電子メールのヘッダーを偽装し、なりすましメールを送ってだます
のぞき見
オフィス内では、さまざまな場所に情報が露出しています。オフィスに入り込むことができれば、情報をのぞき見ることは容易です。よくある例は以下の通りです。
- ディスプレイの周りに貼られている付箋やメモ
― パスワード、スケジュール、電話番号など - キーボードで入力中のパスワード
- 机の上に放置された情報
― 机に放置された手帳、モバイルパソコン
― ファイルを開いたまま、電源がオンになったままのディスプレイ - FAX、プリンタに放置された印刷物
| ソーシャルエンジニアリング 事例 | ソーシャルエンジニアリングへの対策 |