ソーシャルエンジニアリングの対策

2022年5月に、「国民のための情報セキュリティサイト」は全面刷新し、新ページを公開しました。最新の情報は以下のページからご覧いただきますようお願いします。
新サイト：https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html

  ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

  ソーシャルエンジニアリングにはさまざまな方法がありますが、ここでは代表的なものとその対策を紹介します。

電話でパスワードを聞き出す

  電話を利用したソーシャルエンジニアリングは、昔からある代表的な方法です。何らかの方法でユーザ名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。また、逆に管理者になりすまして、直接利用者にパスワードを確認するといったこともあります。これらの対策としては、あらかじめ電話ではパスワードなどの重要な情報を伝えないというルールを決めておくしかありません。

肩越しにキー入力を見る（ショルダハッキング）

  パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法です。肩越しに覗くことから、ショルダ（shoulder＝肩）ハッキングと呼ばれています。たとえオフィス内であっても、パスワードやクレジットカードの番号など、キーボードで重要な情報を入力する際には、周りに注意しなければなりません。

ごみ箱を漁る（トラッシング）

  外部からネットワークに侵入する際に、事前の情報収集として行われることが多いのがトラッシングです。不正アクセスの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料（紙や記憶媒体）から、サーバやルータなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザ名やパスワードといった情報を探し出します。これらの対策としては、廃棄をする際に紙や記憶媒体にある情報を読み取られることがないよう、シュレッダにかけたり、溶解したりなどの処理をすることが重要になります。

  最近では、特定の組織を狙った標的型攻撃メールにおいて、業務上のメールを装うなど、ソーシャルエンジニアリングの手法が用いられることが多くなっています。

  企業や組織の重要情報が漏洩（ろうえい）するということは、組織全体のセキュリティを脅かすということをきちんと認識して、ソーシャルエンジニアリングに対する適切な対策を心がけるようにしましょう。

 

参照

標的型攻撃への対策（社員・職員全般の情報セキュリティ対策）