ソーシャルエンジニアリング
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングはIT技術によらず、人的な脆弱性を利用して情報を窃取する手法である。
ショルダーハッキング
ショルダーハッキングはその中でも典型的な事例で、ユーザIDやパスワードをタイプしているユーザの肩口からその様子を盗み見て、情報を取得する。
攻撃者が社内の要員で信頼されている場合や、キーボードのタイプが遅いユーザに対して用いられると非常に効果的である。攻撃者にしてみれば特にリスクを負うことなく情報を収集することができる。
対策
- パスワードなど重要な情報をタイプする際には、周囲に人がいないことを確かめる
- ディスプレイにフィルタを貼り、のぞかれにくいようにする
- 素早くキータッチできるように練習する
スキャビンジング(Scavenging)
ゴミ箱あさりのことだが、 ゴミ箱に捨てられた情報をつなぎ合わせて本来の重要な情報を復元する作業を指す。情報は廃棄段階で扱いがぞんざいになることが多く、意外に重要な情報が得られる場合がある。シュレッダされた情報を復元されるケースもあるので、情報の廃棄段階での処理も重要である。
対策
- 高性能なシュレッダで確実に裁断する
- 外部業者を通じて廃棄する場合は、守秘義務契約を盛り込む
- 磁気データの廃棄の際は、消磁や物理的破壊で確実にデータを抹消する
会話
業務担当者同士の会話などは、重要情報の宝庫である。ホテルのロビーや喫茶店などで打合せをする場合、周囲の環境や会話の内容に注意する。重要な打合せの場合は、公共の場所を利用しないなどの配慮が必要だろう。また、不慣れなユーザや権力のあるユーザを装って管理者にユーザIDやパスワードを聞く方法もある。確実に本人であると確認できる場合以外はこのような問合せに応じないことも重要である。
対策
- 重要な要件の会合は、開催場所に十分注意する
- パスワードの問合せなどに対する処理規定、手順、本人確認方法を整備する
BEC
Business E-mail Compromise (「ビジネスメール詐欺」と訳されることが多い) の略である。上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振込などをさせる手法である。他のソーシャルエンジニアリング手法を併用して、その会社の標準的な文書フォーマットを攻撃に用いることで、攻撃の成功率を高める。
対策
- デジタル署名で本人確認を行う
- 文章の癖や肩書き、メールに添付されている会社のロゴに惑わされないようにする
共連れ
ICカードや顔認証などのしくみによって、許可された者しか建物や部屋に入れないようなセキュリティシステムを構築していても、ICカードをかざした者の直後に関係のない人が続くという実にアナログなやり方で、セキュリティシステムが突破されてしまうことがある。これを共連れという。
建物の入り口などでは、ITを使ったセキュリティシステムがあるだけでなく、警備員さんが一緒に立っていることもある。これは、顧客対応や事故対応の柔軟性を確保するのはもちろんのこと、共連れなどITの盲点を突いた不正行為を防止する目的がある。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント