「サイバー攻撃解説」ソーシャルエンジニアリングについて

2017年8月29日(火) ノウハウ

皆さんはソーシャルエンジニアリングという言葉を聞いたことがありますか?
ソーシャルエンジニアリングとは人々の心理的な隙をや行動のミスにつけこんで、パスワードなどの重要な情報を盗み出す悪質な手口です。
サイバー攻撃へと繋がる手段のため、注意が必要です。

では、ソーシャルエンジニアリングにはどのような手口があるのでしょうか?今回は代表的な手口を3つ紹介します。

ソーシャルエンジニアリングの手口

①電話でパスワードを聞き出す

情報を得たい対象の電話番号を入手して、以下のように内部関係者を装って情報を聞き出します。

・社員を装い、管理者からパスワードを聞き出す、パスワード変更の依頼をする。
・管理者を装い、利用者からパスワードを聞き出す。
・役員を装い、高圧的な態度や最優先の指示という形で、管理者から役員のパスワードを聞き出す。

電話口という相手の顔が見えないことを利用して、他人になりすまし情報を聞き出します。
言葉巧みに話しかけ、いかにも内部の関係者であると信じ込ませてしまいます。
電話口でパスワードを要求するような人はまず怪しいと疑ってください。
信用できない場合は安易にパスワードを教えたり、言われるがままに変更するのではなく、
一度確認を取ると言って電話を終了させたり、保留にしましょう。
電話先で名乗った人物に心当たりがある場合は、もう一度連絡をして確認を取るなどの対策をしてみてください。

②肩越しに覗き見する(ショルダ・ハッキング)

社内に侵入した部外者がパスワードなどの重要な情報を覗き見する方法です。
部外者が自由に出入りできるようなオフィスの場合はより一層注意が必要です。
侵入した部外者にパスワードが書かれたものを覗き見されることによって、システムなどに侵入されてしまいます。
こう言った事態を避けるために以下を徹底しましょう。

・入退室管理を厳重にする
・重要な情報をディスプレイの周りや机の上に放置しない
・プリンタに印刷したらすぐ取りに行くように徹底する
・プリンタは印刷操作で即印刷ではなく、メモリ保存としておき、紙に印刷する際は認証操作後に印刷となるよう、プリンタに設定する。

入退室管理は入退室管理システムを導入するといったことだけでなく、ICカードの管理や入退室の共連れ禁止といった人の行動に関する管理が重要です。
さらに、入退室管理システムを突破された場合を想定して、デスク周りや印刷物に対しても、容易に見られないように対策する必要があります。

③ゴミを漁る(トラッシング)

ゴミとして出された書類に記載されたパスワードなどの重要情報を、ゴミを漁ることで手に入れる方法です。
粗雑な処理がされた書類にありがちで、シュレッダーの処理が甘い、そもそもシュレッダーにかけていないなどの場合に起こります。
以下を徹底して対策をしましょう。

・不要な印刷物はシュレッダにかける。
・不要な印刷物は別途溶解処理等するための専用箱に入れる。

シュレッダの裁断方式にも注意が必要です。
ストレートカット方式だと、復元されやすいため、セキュリティレベルが低いです。
クロスカット方式、マイクロクロスカット方式を採用すると良いでしょう。

また、機密文書処理を外部に委託する場合は専用箱が用意され、そこに不要な印刷物を投入するだけでよいので、シュレッダよりも大幅に手間が省けます。

情報セキュリティ教育が欠かせない

いずれの対策も一人一人の行動にかかっています。
ちょっとうっかりしてしまっただけで簡単に犯罪者に情報を盗み出されてしまうでしょう。
パスワードを知られてしまうだけで、企業の損害は何十倍にも膨らみます。
したがって、社員一人一人の情報セキュリティ意識の向上が必要になってきます。
情報セキュリティ教育は定期的に実施し、習熟度を維持・向上していきましょう。

Writer:SecurityTIMES編集部