ソーシャルエンジニアリングとは?
「ソーシャルエンジニアリング」とは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法のことです。
ソーシャルエンジニアリングの多くは、人間の心理的な隙や行動のミスにつけ込むものになります。なお、ソーシャルエンジニアリングにはさまざまな方法がありますが、ここでは代表的なものとその対策を紹介していきます。
電話でパスワードを聞き出す
電話を利用したソーシャルエンジニアリングは、代表的な方法になります。何らかの方法でユーザ名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。
逆に、管理者になりすまして、直接利用者にパスワードを確認するといったこともあります。
この対策として、あらかじめ電話でパスワードなどの重要な情報を伝えないというルールを決めておく必要があります。
肩越しにキー入力を見る(ショルダハッキング)
パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法になります。肩越しに覗くことから、ショルダ(shoulder:肩)ハッキングとも呼ばれています。オフィス内であったとしても、パスワードやクレジットカードの番号など、キーボードで重要な情報を入力する際には、周りに注意することが必要です。
ごみ箱を漁る(トラッシング)
外部からネットワークに侵入する際に、事前の情報収集として行われることが多いのがトラッシングになります。不正アクセスの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料(紙や記憶媒体)から、サーバやルータなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザ名やパスワードといった情報を探し出します。これらの対策としては、廃棄をする際に紙や記憶媒体にある情報を読み取られることがないよう、シュレッダにかけたり、溶解したりなどの処理をすることが重要です。
特定の組織を狙った標的型攻撃メールにおいて、業務上のメールを装うなど、ソーシャルエンジニアリングの手法が用いられることが多くなっています。
企業や組織の重要情報が漏洩することは、組織全体のセキュリティを脅かすということを認識し、ソーシャルエンジニアリングに対する適切な対策を心がけることが重要です。
ソーシャルエンジニアリングに関する問題(令和4年問91)
ソーシャルエンジニアリングに該当する行為の例はどれか。
ア. あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
イ. 肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
ウ. 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
エ. プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
出典:令和4年度 ITパスポート試験公開問題 問91
正しいと思う選択肢をクリックしてみてください!!!
ア. あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
不正解です。
イ. 肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
正解です。
ウ. 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
不正解です。
エ. プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
不正解です。
コメント