セキュリティ用語 : ソーシャルエンジニアリングとは?

ソーシャル詐欺

セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、セキュリティの頻出用語を解説します。今回は、「ソーシャルエンジニアリング」についてです。

昨今は、「ソーシャル」と聞くと、フェイスブックなどの「ソーシャルメディア」を思い出す方も多いと思います。「ソーシャルエンジニアリング」も、「ソーシャルメディア」も、英語で「社会的な」という意味であるSocial (ソーシャル)が先頭についた言葉です。

ネットワークシステムへの不正侵入というと、ハッキングなどのコンピューターや、ネットワークの技術を利用して行うことをイメージする人が、多いのではないでしょうか? ソーシャルエンジニアリングは、そのような手法をとるものではありません。

ソーシャルエンジニアリングは、管理者、ユーザーなどから、盗み聞き、盗み見など「社会的」(それが社会的なのかどうは横に置き)な手段によって、パスワードなどの重要な情報を入手することです。

いくつか代表的な手法を紹介します。

  • まずは、ショルダーハックです。クレジットカード番号やパスワードなどの重要な情報を入力するところを背後から盗み見するものです。例えば、外出先で仕事をしようと、社外のカフェでPCを使って作業をするとき、実は、後ろからパスワードを入力するところを見られていたといったような状況です。また、社員が社内でPCを使って作業をするとき、安心してパスワードを入力するでしょう。しかし、社内に攻撃者が入り込んでいれば、オフィスの席の後ろで盗み見されているかもしれません。
  • IDやパスワードを覚えていられないために、ポストイットでディスプレイ周辺に貼り付けている人を見かけたことはないでしょうか? そのようなポストイットなどを瞬間的に見て暗記することに長けている人であれば、社内に潜入さえできれば、容易に情報を入手できます。また、情報漏えいは、社内犯行犯も多いことから分かるように、社員がそれらの情報を盗み見て、盗み出している場合もあります。
  • 会社の上司になりすまして、社外から電話して、「○○さん、XXシステムのパスワードを忘れたけど、パスワードを教えて欲しい」と指示をだすことで、情報を盗み出すということもあります。
  • オフィスからでる書類などのゴミをあさるトラッシングという手法もあります。ごみ箱に捨てられた紙やメディアなどから、サーバーなどの設定情報、ユーザー名やパスワードといった情報を探し出します。

こういったソーシャルエンジニアリングの手法そのものは、古くから存在しています。昨今社会的問題になっている『振り込め詐欺』も同様の方法を使っていることを思い出す人もいるでしょう。これ以外にも、ソーシャルエンジニアリングの方法には、さまざまなものがあるため、万全な対策が取りにくいという点に注意してください。今回紹介した手法をお読みいただいても分かるように、これらは、ウィルス対策ソフトを導入しても、防ぐことはできません。

まずは、組織内部での機密情報の管理ルールの徹底が必要だということを理解してください。

社員の一人一人が注意しないと、適切な情報セキュリティを維持できません。企業全体で適切な対策を心がけるようにしてください。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速