国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策社員・職員全般ソーシャルエンジニアリングの対策 トップページへ戻る
「企業・組織」の情報セキュリティ対策:社員・職員全般
安全なパスワード管理
ウイルスからの防御
悪意のあるホームページ
ソフトウェアの情報セキュリティ対策
バックアップ
ソーシャルエンジニアリングの対策
廃棄するコンピュータやメディアからの情報漏洩
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ボットの危険性と対策
ソーシャルエンジニアリングの対策

重要!
 ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの情報を、コンピュータを使用せずに盗み出す方法です。ソーシャルとはsocial、つまり社会を表す言葉で、IT技術を利用したハッキングではなく、実社会において情報を盗み出すことと考えるとわかりやすいかもしれません。

 ソーシャルエンジニアリングにはさまざまなやり方がありますが、ここでは代表的な方法と対策を紹介します。

 自分のユーザー情報が漏洩するということは、組織全体のセキュリティを脅かすということをきちんと認識して、ソーシャルエンジニアリングに対する適切な対策を心がけるようにしましょう。

■電話でパスワードを聞き出す

 電話を利用したソーシャルエンジニアリングは、昔からある代表的な方法です。何らかの方法でユーザー名を入手したら、そのユーザーのふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。また、逆に管理者になりすまして、直接ユーザーに利用しているパスワードを確認するといったこともあります。これらの対策としては、あらかじめ電話ではパスワードなどの重要な情報を伝えないというルールを決めておくしかありません。

 なお、この方法はキャッシュカードの暗証番号を調べるために使われることも多く、ほとんどの金融機関では「当行では電話でお客様の暗証番号をお聞きすることはありません」という案内を出しています。

電話でパスワードを聞き出す

■肩越しにキー入力を見る(ショルダハッキング)

 パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法です。肩越しに覗くことから、ショルダ(shoulder=肩)ハッキングと呼ばれています。たとえオフィス内であっても、パスワードやクレジットカードの番号など、キーボードで重要な情報を入力する際には、周りに注意しなければなりません。

肩越しにキー入力を見る

■ごみ箱を漁る(トラッシング)

 外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングです。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバールーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名パスワードといった情報を探し出します。

 面倒なようですが、やはり社内ネットワークや個人情報に関連する資料は、シュレッダーを利用する等の方法で確実に廃棄しなければなりません。なお、書類の廃棄方法については、社内のルールを確認してください。

ごみ箱を漁る

国民のための情報セキュリティサイトトップへ