【あなたも狙われている】ソーシャルエンジニアリングとは？

概要

こんにちは！

ゼロからサイバーセキュリティを勉強中のNoriです！

まず、ソーシャルエンジニアリングという言葉をご存知でしょうか。

僕は勿論・・・

知りませんでした。

すみません。

最初聞いた時は、

「今流行りのビジネスですか？」

と思いました、はい。

まあそれは置いておいてですね、

一体これはどういった類のものかと言いますと、

個人が持つIDやパスワード等といった重要情報を、情報通信技術を使わずに入手すること全般を指します。

その多くは、人間の心理的な隙や行動のミスに付け込んだものです。

それでは、具体的に見ていきましょう。

具体例

総務省のホームページで紹介されている例は次の３つです。

１．電話でパスワードを聞き出す

古典的な方法ですね。

企業の中で考えられるケースとしては、

ある人の個人IDを何らかの手段で入手した攻撃者が、ネットワーク管理者の人に

「パスワードを忘れたので教えてください。IDは●●●です。」

などと電話してパスワードを聞き出す、といったところです。

IDが正しかったら、信用してしまいますね・・・。

また、電話で重要情報を聞き出すという意味では、

「振り込め詐欺」なども、ソーシャルエンジニアリングに該当すると言えます。

２．ショルダハッキング

人がパスワード等を入力しているところを覗き見て情報を入手することを指します。

肩越しに見ることから、こう呼ばれています。

今の時代、カフェで仕事をしたりする人も多いですし、注意が必要です。

勿論、オフィスでも。

攻撃者はどこに潜んでいるか分かりませんから。

なお、犯罪ではないですが、恋人のスマホのパスワードを盗み見ることも、

一種のショルダハッキングと言えますね。

３．トラッシング

ゴミ箱の中にある重要情報を漁って重要情報を抜き取ることを言います。

多くのオフィスでは重要情報が入った書類はシュレッダーことが多いとは思いますが、

依然注意が必要です。

攻撃者の中には、清掃員を装ってトラッシングをする者もいるんだとか・・・。

恐ろしいものです。

まとめ

以上、ソーシャルエンジニアリングについて簡単に説明させていただきました。

サイバーセキュリティの話となると、情報通信技術を駆使した高度な攻撃にばかり目がいってしまいがちですよね。

しかし、こういった「人の脆弱性」に付け込んだアナログな方法による被害も後を絶ちません。

仕事上でもプライベートでも、どこに攻撃者が潜んでいるか分からないという意識を頭の片隅にでも残しておくことが大切だと思います。

最後まで読んでくださり、ありがとうございました！

文：Nori

ライタープロフィール
Nori（のり）と申します。学生時代、AironWorksのメンバーとビジネスコンテストで知り合った縁で記事を執筆することになりました！
一緒にサイバーセキュリティを学んでいきましょう！
■略歴　大阪大学出身・大手機械メーカーに就職し、その後転職・AironWorksにてライターとして活動開始（2022年4月〜）
■趣味　お笑い・野球観戦・読書・ブログを書くこと