国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策情報管理担当者ソーシャルエンジニアリングの対策 トップページへ戻る
「企業・組織」の情報セキュリティ対策:情報管理担当者
ウイルスからの防御
ユーザー権限とユーザー認証の管理
パスワード管理の推奨
バックアップの推奨
ソーシャルエンジニアリングの対策
サーバーの設置と管理
機器障害への対策
ハッキングによる被害と対策
社員の不正による被害
廃棄するコンピュータやメディアからの情報漏洩
情報セキュリティポリシーの導入と運用方法
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ASP・SaaSを利用する際の情報セキュリティ対策
SQLインジェクションへの対策
ソーシャルエンジニアリングの対策

重要!
 ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの情報を、コンピュータを使用せずに盗み出す方法です。ソーシャルとはsocial、つまり社会を表す言葉で、IT技術を利用したハッキングではなく、実社会において情報を盗み出すことと考えるとわかりやすいかもしれません。

 ひとりのユーザーの情報が漏洩するということは、組織全体の情報セキュリティレベルの低下につながります。必ずすべてのユーザーにソーシャルエンジニアリングに対する適切な対策を心がけるように指導しましょう。

 ソーシャルエンジニアリングにはさまざまなやり方がありますが、ここでは代表的な方法と対策を紹介します。

■電話でパスワードを聞き出す

 電話を利用したソーシャルエンジニアリングは、昔からある代表的な方法です。何らかの方法でユーザー名を入手したら、そのユーザーのふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。また、逆に管理者になりすまして、直接ユーザーに利用しているパスワードを確認するといったこともあります。これらの対策としては、あらかじめ電話ではパスワードなどの重要な情報を伝えないというルールを決めておくしかありません。

 なお、この方法はキャッシュカードの暗証番号を調べるために使われることも多く、ほとんどの金融機関では「当行では電話でお客様の暗証番号をお聞きすることはありません」という案内を出しています。

電話でパスワードを聞き出す

■肩越しにキー入力を見る(ショルダハッキング)

 パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法です。肩越しに覗くことから、ショルダ(shoulder=肩)ハッキングと呼ばれています。たとえオフィス内であっても、パスワードやクレジットカードの番号など、キーボードで重要な情報を入力する際には、周りに注意しなければなりません。

肩越しにキー入力を見る

■ごみ箱を漁る(トラッシング)

 外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングです。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバールーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名パスワードといった情報を探し出します。

 面倒なようですが、やはり社内ネットワークや個人情報に関連する資料は、シュレッダーを利用する等の方法で確実に廃棄しなければなりません。なお、書類の廃棄方法については、社内のルールを確認してください。

ごみ箱を漁る

国民のための情報セキュリティサイトトップへ