ソーシャルエンジニアリングとは?実はあなたも行なっているかも!

ソーシャルエンジニアリングとは?実はあなたも行なっているかも!
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

ソーシャルエンジニアリングとは、相手の弱みに付け込んだり盗み見などによって情報を知ったりするといったアナログ攻撃です。

意識していないうちに、あなたが行なっている手口があるかもしれません。

今回は、ソーシャルエンジニアリングの手口と6つの対策方法をご紹介します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、技術的な知識を要しない電話やゴミ箱、心理状態などのアナログな手法を用いて個人情報や企業機密などを盗む攻撃です。

ITが普及する前からある攻撃手法で、現在も根強く残り被害にあう方が後を絶ちません。

セキュリティソフトや脆弱性対策などの技術的な対策を行なったからといって改善する訳ではなく、「個人や組織の意識」「ルール遵守」といった、アナログな手法を用いて対策する必要があります。

ソーシャルエンジニアリングの手口

ソーシャルエンジニアリングの手口は全て身近で、聞いたことがあったり、いつの間にか引っかかっていたり、意識せずに行なってしまっている手口など様々です。

手口を知ることで、対策を意識することができるので、1つづつみていきましょう。

なりすまし

一番よく耳にする「なりすまし」による手口です。

例えば、息子になりすまして現金を振り込ませたり、管理者になりすましてパスワードを聞き出したりといった行為があげられます。

本人や管理者・上司など様々な人になりすまして現金や個人情報・企業機密を騙し取る詐欺と同じ手口です。

フィッシング詐欺

よく利用するWebなどを用いて行われる手口、「フィッシング詐欺」です。

特に近年起きている手口は、宅配の不在表やアカウント・パスワード変更などのWebページを用意してアカウント情報やクレジットカード情報を入力させる方法。

キャリアメールやGmailに送信されるなど様々で、中にはURLが添付されており、Webサイトに飛ぶと本物そっくりのサイトに遷移し、入力させることで情報を盗みます。

気づく頃には、覚えのない投稿や購入履歴・クレジットカード決済が行われ大きな損害がでる可能性があるため注意が必要です。

参考:佐川急便を装った迷惑メールにご注意ください

ショルダーハッキング

あなたも一度は行なってしまったことがあるかもしれない手口「ショルダーハッキング」です。

ショルダーハッキングとは、パスワードや暗証番号入力の際に肩越しから見ることで、パスワードや情報を盗みます。

例えば、社員や家族・恋人・友人が入力しているPC・スマホのパスワードを入力しているところをみてしまったり、銀行などで暗証番号をみてしまったなどです。

盗み見てるつもりはないけれどと思うかもしれませんが、これもソーシャルエンジニアリングの手口です。

トラッシング

社内ゴミや家庭ごみから起こり得る手口、「トラッシング」です。

トラッシングとは、ゴミ箱に捨ててある紙や付箋・USBなどから情報を盗む方法で、弱みとして使ったり、不正ログインや攻撃を行うためのヒントなどに利用される可能性があります。

例え、コピーミスや重要ではないだろうと思っているゴミだったとしてもルールや正しい処分方法に従って、処理することが重要です。

個人だけでなく会社も対象に

個人的に行われるだけではなく、会社を対象としても行われます。

完全な情報を得ていなくても、それまでに集めた情報を使って特定の組織に攻撃する場合もあります。

業務に関連する電話やメールなどが執拗に多いと感じたときは、標的型攻撃が行われている可能性があるため、注意が必要です。

標的型攻撃についてはこちら

ソーシャルエンジニアリング対策

ソーシャルエンジニアリングの対策方法を6つご紹介します。
サイバー攻撃とは違いツールを利用した対策だけではなく、個人や組織の意識が非常に重要です。

本人確認をとる

現金の要求や個人情報・企業について情報を尋ねられた場合は、本人からの聴取なのか確認することが重要です。

例えば、「明日までに〇〇万円入金して欲しい」「本日中に御社のサーバーをアップデートするのでパスワード教えてください」など様々な手口があります。

その要求も年々変化しており、緊急性を演じたり心配になるような話題にしたりと巧妙です。

問われた際にすぐに入金や返答をするのではなく、電話番号が間違っていないか・そんな予定があったか・本人や上司に一度聞いて掛け直すなどすることで対策することができます。

不審なメールやURLを開かない

見覚えのない発信者や件名・URLが記載されている場合は、開封しないようにすることで対策ができます。

最近では興味を引く内容になっていたり、社内の人間からのメールに見せかけていたりする場合があるため、注意が必要です。

また、フィッシング詐欺にあわないという効果だけではなく、マルウェアの感染も防ぐことができるため、2つの面で有効な手段といえます。

メーラーによっては自動で振り分けてくれるものもありますが、不安であれば振り分け設定を行い、必要なメールだけに絞るのも有効な対策です。

スクリーンセーバーを使う

社外の方の出入りが激しい場合や席を外すことが多い場合は、スクリーンセーバーを用いることで情報漏洩を防ぐことができます。

同じ画面をずっと開いたままでは、悪意ある人に情報提供を行なっていることになります。

自分の中では重要な情報ではなくても、攻撃者にとってはヒントになってしまう可能性があるため注意が必要です。

また、スクリーンだけではなく机に貼った付箋や資料の山も同様ですので、整理整頓や適切な管理・処理を行いましょう。

シュレッダーを使う

社内や社外で使った資料・コピーミス・USBなどの外部ディスクの破棄を行う場合は、適切な処理を行うことが重要です。

シュレッダーや破壊などがあげられますが、情報が読み取れないような状態にして捨てることで、トラッシングが起きるリスクを低くすることができます。

入退室管理を行う

社内だけでなく外部の方の入退室が多い場合は、入退室の管理を行うことが重要です。

情報漏洩を防ぐことはもちろん、不審物の持ち込み・破損や破壊を防ぐことができます。

また、物を持ち出したりする場合は貸出記録や返却記録をとっておくことで、紛失を防ぐことができるので、一緒に対策しておくと良いでしょう。

定期的な注意喚起

上記でご紹介したように、ツールなどを使っただけでは対策できない攻撃もあるため定期的な注意喚起が必要になります。

攻撃される対象が、人であるため忘れてしまたり気が抜けることがどうしても起こってしまいます。

忘れる前・気が抜ける前・攻撃が起こる前に対策することが重要です。

また、個人だけでなく組織一体となって対策することで、組織に対しての攻撃も防ぐことができます。

まとめ

今回は、ソーシャルエンジニアリングについて解説しました。

技術的な知識が必要がなく、誰でも攻撃が行えることがわかります。
本当に小さい情報でも、攻撃者にとってはヒントになる情報となってしまい攻撃の発端になりかねません。

個人だけで意識するには限界があるので、組織で周知したりルールを決めたりすることで攻撃にあう可能性を低くすることができるので、ぜひご紹介した対策方法を実施してみてください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」