情報セキュリティマネジメント試験 科目A 重要キーワード解説
ソーシャルエンジニアリングとは、コンピュータの技術ではなく人の心理的な隙や行動のミスを突いて、パスワードや機密情報を盗み出す手法の総称です。「人」という最も弱い部分を狙う攻撃で、どれだけ技術的対策を固めても、人がだまされれば突破されてしまいます。
電話で関係者になりすまして聞き出す、肩越しに画面を覗き見る、ゴミをあさるなど、アナログな手口が多いのが特徴です。フィッシングやBECも広義のソーシャルエンジニアリングに含まれます。
| 手口 | 内容 |
|---|---|
| なりすまし電話 | 上司・システム管理者・取引先を装い、電話でパスワード等を聞き出す。 |
| ショルダーハッキング | 肩越しにキーボード入力やディスプレイを覗き見る。 |
| トラッシング(スキャベンジング) | ゴミ箱の書類や廃棄媒体から機密情報を拾い出す。 |
| テールゲート(共連れ) | 正規入室者の後ろについて、認証なしで部屋に入り込む。 |
「システムの不具合を調べたい」とIT管理者になりすました電話で、利用者からパスワードを聞き出す手口が古くから使われています。技術的な侵入が難しい場合に、人をだます方が早いという発想です。
シュレッダーにかけずに捨てられた顧客名簿や設定情報が拾われ、不正アクセスや詐欺に悪用された事例があります。適切な廃棄がいかに重要かを示します。