スポンサーリンク

【IT未経験者向け】ソーシャルエンジニアリングとは

情報処理安全確保支援士
この記事は約4分で読めます。
たこやき後輩
たこやき後輩

週一投稿で2020年中に50記事到達目指します。

 

今回は第二回目になります。

今後OJTの教育者側となる自分のためにIT知識のアウトプットを本日もしていこうと思います。

第一回はコチラ

【IT未経験者向け】プロキシサーバとは
たこやき後輩 ブログって一旦、期間をあけてしまうとどうしてこんなにも次の記事が書けないのでしょうね。 今回が初回ですが、今後OJTの教育者側となる自分のために IT知識のアウトプットをしていこう...

 

今日は、「ソーシャルエンジニアリング」の説明をOJT教育で伝えるつもりで説明していきます。

というわけで自分なりの具体例やイメージを使って説明していければと思います。

 

ソーシャルエンジニアリングとは?

ウィキペディアや定義を調べると以下のように出てきます。

ソーシャルエンジニアリングとは、人間の弱みや心理につけ込み、巧みに個人情報や機密情報を詐取する手法のことだ。代表的な例として、「電話でシステム管理者になりすましてパスワードを聞き出す」「警察を名乗り個人情報を聞き出す」「メールの文面でだます」「ショルダーハック」「トラッシング(スカビンジング)」(廃棄された紙ごみから企業・組織に関する機密情報を探る)といった行為が挙げられる。

#セキュリティ用語辞典より

 

 

こういった天才的なスキルを持ったハッキングのプロが行うものというよりは

 

ハッカーのイラスト

 

詐欺師のイメージに近い方法ですね。

詐欺師のイラスト

これが「ソーシャルエンジニアリングってなに?」に対する答えだと思います。

これはIT未経験の方にも伝わりやすいように感じます。



事例

「ソーシャルエンジニアリングとは?」でも少し書かれておりましたが

いくつか事例を紹介していくと

 

なりすまし

社員を装ってシステム管理者や窓口に電話をかけ、

「パスワードを紛失してしまったので教えて欲しい」

「今日から参加した新メンバーだがIDとパスワードが分からない」

などとそれらしいことをなりすまして聞き出す行為。

ネット上のなりすましのイラスト(男性)

 

のぞき見

会社で使用しているPCなどに張り付けられたパスワードがかかれた付箋をみたり

パスワード入力画面を肩越しに見たりと

言葉の通り、人にばれないように覗き見る行為。

 

影からのぞき見ている人のイラスト(男性)

 

 

ゴミ箱あさり

捨てられた機密書類を拾って重要情報を取得したり

ゴミ箱フォルダから重要なファイルを取得したりと

廃棄したつもりのものを持ち出す行為。

ゴミ箱を漁る人のイラスト

 

 

どれも、人のすきをついた行為となっており、

恐らく悪意を持ってやろうと思えば簡単にやることができてしまう行為だと思われる。

対策

なりすましの対策としては

・パスワード設定の際は本人確認書類の提出を必要とする

・電話やメールでのパスワード通知はしない

など、全関係者共通のルールを定めることなどが挙げられます。

 

 

のぞき見の対策としては

・覗き見防止フィルターを張る

・スクリーンセーバーをかけておく

・付箋を貼らない

など、とにかく重要な情報が自分以外から見えないようにします。

 

 

ゴミ箱あさりの対策としては

・鍵付きのゴミ箱の設置

・シュレッダーの使用

・ゴミ箱フォルダ完全削除頻度の更新

など、ゴミを早めに復元できない状態にしてしまうことが挙げらます。

 

ただ、これらの対策をすれば完璧にセキュリティが守られるということはなく

ソーシャルエンジニアリングはあくまで人間のすきをつくものなので

セキュリティ漏洩の確率を減らせるというのが関の山です。

 

また、これらの対策はどれも手間がかかってしまい

煩雑なルールや回りくどい作業の発生にもつながるため

どこまで徹底するかは企業によっても別れます。

 



まとめ

ソーシャルエンジニアリングとは、

人間の弱みや心理につけ込み、巧みに個人情報や機密情報を詐取する手法のことです。

事例としてはなりすましのぞき見ゴミ箱あさりがあり、

それぞれの対策としては、ルールの制定覗き見防止フィルター鍵付きのごみ箱を設置する等が挙げられます。

ただ、これらは万全な策ではないことを認識する必要があります。

 

 

自分なりにまとめてみましたが、いかがだったでしょうか。

「これは違う」、「この方が分かりやすい」といった意見がありましたら

コメントいただけますと幸いです。

では、こんなところで。

 

コメント

タイトルとURLをコピーしました