
ソーシャルエンジニアリングとは、情報の盗み見や盗み聞き、捨てられたゴミからの情報の取得、なりすましによる話術などの手段でパスワードなどの機密情報を入手することを指します。
主に人間の心理的な隙や行動につけ込む手法のことで、ソーシャルエンジニアリングにはいくつか手法があります。
トラッシングとは
トラッシング(Trashing)とは、ソーシャルエンジニアリングの手法の一つで、技術的手段に頼らず、オフィスからゴミとして出された書類や不要物を、目的とする機密情報を探して取得する方法で、スカビンシング(scavenging)とも言われます。
ID・パスワードを記載したメモ、顧客情報や社員情報を記載した紙または記憶媒体を探し出してゴミを漁って情報を取得する事を目的とします。
ショルダーハックとは
ショルダーハックとは、IDやパスワードなどの個人情報を機器に入力する場面を覗き見し、機密情報の取得を行うソーシャルエンジニアリングの手法の一つです。
また、キーボードや画面を操作する場面を盗み見るだけではなく、画面に表示されている内容から情報を盗み見たり、パソコンにID・パスワードを記載した付箋を見て情報を取得する方法などもあります。
なりすましとは
なりすましとは、ソーシャルエンジニアリングの手法の一つで、電話で本人になりすまして、標的となる人物へID・パスワードなどの重要情報を聞き出す手法のことです。
例えば、従業員を装ってシステム管理者に連絡し、「パスワードが分からないので教えてほしい」と言ってパスワードを聞き出す方法やパスワードの変更を要請する手法です。
さいごに
ソーシャルエンジニアリングのように、人的な心理や隙を突いて情報窃取を行う方法があります。
物理的セキュリティ対策、技術的セキュリティ対策を行う事も重要ですが、セキュリティ教育やセキュリティ意識の向上により人的なセキュリティ対策を行うことも大切です。
ソーシャルエンジニアリング対策を行う上で主な対策をご紹介します。
- 長時間離席する際は、パソコン画面にスクリーンセーバーをかけたり画面をロックしましょう。
- クリアデスクを心掛けましょう。
- メモや付箋にID・パスワードの書いた紙を置かないようにしましょう。
- 遮蔽物を設置し、横から覗かれないようにしましょう。
- 入退室システムを導入し、関係者以外の立ち入りを制限しましょう。
ショルダーハック対策
- 重要情報を安易にプリントアウトしないようにしましょう。
- 書類を処分する際はシュレッダーをかけましょう。
- 電子媒体データ破棄の際は、データを消去しましょう。
トラッシング対策
- 電話の場合、本人確認のため一度折り返すようにしましょう。
- ID/パスワード発行の際は、本人がシステム管理者に直接出向くなど社内でルールを決めておきましょう。
なりすまし対策