ソーシャルエンジニアリングって何? 基礎知識と対処法

いまさら聞けない
インフラLearning

はじめに

ソーシャルエンジニアリングとは、人間の心理的な弱点をついて機密情報やパスワードなどを入手する手法のことです。
例えば、企業の社員の信頼を得たりして、情報を引き出すための手段として使います。
ソーシャルエンジニアリングの手法には、プリテキスティング(Pretexting)、テクニカルサポート詐欺、ショルダハッキングなどがあります。

ソーシャルエンジニアリングの具体例

1. プリテキスティング(Pretexting)

嘘のストーリーを使ったり誰かになりすましたりして情報を入手したりします。
この手法では、自分が企業の社員や顧客であるようになりすまして社員や顧客に直接連絡を取って機密情報を入手したりします。
プリテキスティングで入手するものは、情報のほかにお金も含まれます。
つまり、高齢者を狙った振り込め詐欺オレオレ詐欺もプリテキスティングの一種です。
個人情報や機密情報を入手するために、誰かになりすまして聞き出すと言われるよりも、オレオレ詐欺みたいなやり方で個人情報や機密情報を聞き出すと言う方が理解が早いかもしれません。

それを踏まえて、コナンくんが眠りの小五郎を使って事件を解き明かしていく様はリバースプリテキスティングとなるかもしれません(笑

2. テクニカルサポート詐欺

コンピューターにトラブルが発生したと偽って、技術サポートセンターなどを装い被害者に連絡をします。
サポートを口実に、不正なリモートアクセスで被害者のコンピューターを操作して、不正なプログラムをインストールする手法です。
これにより、パスワードや個人情報を盗まれてしまいます。

インターネットを利用している時に、いきなりどこかに連絡するよう警告してくるものは、必ず一度冷静になって考えてみましょう!

3.ショルダハッキング

キーボードやスマートフォンの操作でパスワードなどを入力している時に、身近な人が背後から見てパスワードや個人情報を盗む手法です。
この手法は身近な人に限定されるため、知人や友人になりすます必要はありません。

すごく単純ですが確実な手法です。
逆に周りの方がパスワードを打っている時には目線を外してあげるという優しさも必要かもしれません。

対処法

1. プリテキスティング対策

プリテキスティングは嘘のストーリーを使ったり、なりすましていたり、どこかに嘘の要素があります。
これに気づくことが重要です。
少しでも怪しいと思ったら確認するということがとても大事になります。
オレオレ詐欺も、一旦冷静になって息子に折り返しの電話をかけるだけで防げてしまうものです。

2. テクニカルサポート詐欺

テクニカルサポート詐欺の対策は、まず怪しいリンクをクリックしないことです。
おおよその場合、入り口がリンクをクリックすることだからです。
クリックするとサポート窓口に電話するようメッセージが表示されるでしょうが、絶対に電話してはいけません。
可能であれば、電話する前に周りの詳しい人に相談しましょう。
それ以外にも、OSやセキュリティソフトを常に最新に更新しておくことも重要です。

3. ショルダハッキング対策

ショルダハッキングの対策は非常に単純です。
パスワード入力中は周りを注意深く見渡し、見られないようキーボードの位置を変えたりスマートフォンの画面を傾けるなどの対策が必要です。

その他. 社員教育

企業では社員教育が重要です。
社員に対して、機密情報を漏らさないようにするための訓練や、ソーシャルエンジニアリングに関する情報提供をすることが効果的です。
また、社員に対してフィッシング攻撃やショルダハッキングなどの手法についても、定期的に教育できると更に効果的です。

まとめ

ソーシャルエンジニアリングは人間の心理的な弱点を突いた攻撃手法であり、様々な手法が存在します。
ショルダハッキングなどは、一般的なソーシャルエンジニアリングの手法です。
これらの攻撃から身を守るためには、正しい知識と対策が必要です。
ソーシャルエンジニアリングの手法は、今回紹介したもの以外にもまだまだたくさんあります。
しかし、どの手法も心の隙をつくという点では同じです。
ソーシャルエンジニアリングによる攻撃から身を守るために、常に情報セキュリティに対する意識を高く持ち続けることが大切です。

とはいえ、常に気を張っていないといけないというわけではありません。
普段から正しい知識を蓄えていれば、被害に遭う確率をグッと減らせるものです。
自分の身を守るためにも、一緒に勉強していきましょう!

コメント

タイトルとURLをコピーしました