ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法のことです。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは何ですか?
ソーシャルエンジニアリングとは、マルウェアなどを用いずにパスワードなどの情報を盗み出す手法になります。
なお、ソーシャルエンジニアリングは「心理的な隙」を突く攻撃とも呼ばれています。
ソーシャルエンジニアリングの手口の例を教えてください!!!
情報システム部門の担当者をよそおって電話をかけ、システムにログインするためのIDとパスワードを聞き出す手口があります。
また、ノートパソコンやスマートフォンの操作を盗み見て、システムやサービスにログインするためにパスワードを入力した際にその内容を記憶するといった手口もあります。
さらに、ディスプレイなどに貼り付けられているパスワードが記載された付箋を盗み見る、ゴミ箱に捨てられた書類から機密情報を盗み出すといった行為もソーシャルエンジニアリングになります。
「心理的な隙」を突く方法
ソーシャルエンジニアリングは「心理的な隙」を突く攻撃手法になります。「心理的な隙」を突く方法として、以下のような手法を使われます。
- 取引先や公的機関など「信頼できる相手」を装う
- 緊急性や恐怖感を出し、回答を引き出す
- 「信頼性のある理由」を伝え、情報を盗む
ソーシャルエンジニアリングの主な手口の例
ここで、ソーシャルエンジニアリングの主な手口を紹介していきます。
- PC画面などを覗き見し、パスワードなどを盗む(ショルダーハッキング)
- なりすまし電話をかけ、個人情報を盗む
- ごみ箱を漁る(トラッキング)
- フィッシング詐欺(スミッシング)
- スケアウェア
PC画面などを覗き見し、パスワードなどを盗む(ショルダーハッキング)
「ショルダーハッキング」とは、PCやスマートフォンを使用している人の背後から画面を覗き込んで、入力中のIDとパスワードを記憶したり、機密情報が書かれているメールの内容を盗み見たりする手口になります。
ショルダーハッキングは攻撃の痕跡が残らないため、不正アクセスなどの被害に遭うまで情報を盗み取られたことに気づけない可能性が高いです。
ログイン情報やカード番号などを扱う際は、画面を覗き見ている人が周囲にいないかを確認し、安全が確保された状態で使用することが重要になります。
なりすまし電話をかけ、個人情報を盗む
ソーシャルエンジニアリングの手法として、取引先などの関係者になりすまして電話をかけ、個人情報を盗み取る手法があります。
この手法では関係者を装った攻撃者が「取引に使用している口座が変更になったので、取引先の口座登録手続きを新たに行う必要がある」などの理由を口実に、現在の口座情報を盗み取り被害者をだまします。
個人情報や社内機密の共有を求める電話がかかってきた際は、すぐ信用せず、「なりすまし電話」を疑うこと、取引先やクライアントに別途電話やメールで連絡を入れ「本当に関係者かどうか」をすぐに確認して対策します。
ごみ箱を漁る(トラッキング)
「トラッキング」は、ごみ箱から個人情報が記載されたメモなどを拾い、不正使用する手口のことです。
パソコンのIDやパスワードなどのログイン情報や営業リスト、顧客の住所・電話番号の一覧などが記載された用紙をそのままごみ箱に捨てると、悪意のある第三者に、情報を盗み取られる可能性があります。
また、紙に限らず、URBメモリなどの記憶媒体をデータを消さず廃棄すると、同じく情報を窃取されるリスクがあります。
重要な情報が記載された用紙・記憶媒体を処分する際は、必ずシュレッダーにかける・溶解する・データを初期化するなど、外部に情報が流出しない対策が必要です。
フィッシング詐欺(スミッシング)
「フィッシング詐欺」とは、情報の窃取を目的としたサイバー攻撃の一種になります。
メールなどでターゲットを不正なURLに誘導し、攻撃者が事前に作成した偽サイト・フォームから氏名や電話番号、クレジットカード番号などの個人情報を入力させ、不正利用することを目的としています。
「プレゼントに当選しました!」などのメールからフォームが記載されたURLに誘導し、氏名や住所を入力させたり、
大手ECサイトを装い「システムトラブルが発生した」「異常なログインがあった」といった内容のメールを送信し、偽サイトに誘導して個人情報を入力させます。
また、フィッシング詐欺のうち、スマートフォンのSMSを利用する手口を「スミッシング」と呼びます。近年はスミッシングによる被害も多発しており、通販サイトや宅配業者などを模した、不審なSMSには注意が必要になります。
スケアウェア
スケアウェアとは、パソコンの画面上に「ウイルスに感染しました」「セキュリティに問題があります」などの警告文を表示させ、有料ソフトやサービスを購入させる手口のことです。
「ウイルスを駆除したい場合は今すぐこちらのソフトを購入してください!」などの危機感を煽る文章でターゲットを誘導し、利益を得ることを目的としています。
スケアウェアがユーザーの不安を煽る手口は巧妙であり、リアルタイムにスキャンが進行しているように見せかけたり、ブラウザを無数に出現させたりして、あたかもウイルスに感染しているかのような演出が行われます。
対策として、ブラウザ上に警告画面が表示された場合は、基本的に「偽警告」と疑うことが重要です。安易に警告の指示に従わず、まずはブラウザを閉じ、冷静な対処をすることが重要です。
ソーシャルエンジニアリングに関する問題(令和5年問89)
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
ア. ゼロデイ攻撃 イ. ソーシャルエンジニアリング ウ. ソーシャルメディア エ. トロイの木馬
出典:令和5年度 ITパスポート試験公開問題 問89
正しいと思う選択肢をクリックしてみてください!!!
ア. ゼロデイ攻撃
不正解です。
イ. ソーシャルエンジニアリング
正解です。
ウ. ソーシャルメディア
不正解です。
エ. トロイの木馬
不正解です。
コメント