週一投稿で2020年中に50記事到達目指します。
今回は第二回目になります。
今後OJTの教育者側となる自分のためにIT知識のアウトプットを本日もしていこうと思います。
第一回はコチラ
今日は、「ソーシャルエンジニアリング」の説明をOJT教育で伝えるつもりで説明していきます。
というわけで自分なりの具体例やイメージを使って説明していければと思います。
目次
ソーシャルエンジニアリングとは?
ウィキペディアや定義を調べると以下のように出てきます。
ソーシャルエンジニアリングとは、人間の弱みや心理につけ込み、巧みに個人情報や機密情報を詐取する手法のことだ。代表的な例として、「電話でシステム管理者になりすましてパスワードを聞き出す」「警察を名乗り個人情報を聞き出す」「メールの文面でだます」「ショルダーハック」「トラッシング(スカビンジング)」(廃棄された紙ごみから企業・組織に関する機密情報を探る)といった行為が挙げられる。
#セキュリティ用語辞典より
こういった天才的なスキルを持ったハッキングのプロが行うものというよりは
詐欺師のイメージに近い方法ですね。
これが「ソーシャルエンジニアリングってなに?」に対する答えだと思います。
これはIT未経験の方にも伝わりやすいように感じます。
事例
「ソーシャルエンジニアリングとは?」でも少し書かれておりましたが
いくつか事例を紹介していくと
・なりすまし
社員を装ってシステム管理者や窓口に電話をかけ、
「パスワードを紛失してしまったので教えて欲しい」
「今日から参加した新メンバーだがIDとパスワードが分からない」
などとそれらしいことをなりすまして聞き出す行為。
・のぞき見
会社で使用しているPCなどに張り付けられたパスワードがかかれた付箋をみたり
パスワード入力画面を肩越しに見たりと
言葉の通り、人にばれないように覗き見る行為。
・ゴミ箱あさり
捨てられた機密書類を拾って重要情報を取得したり
ゴミ箱フォルダから重要なファイルを取得したりと
廃棄したつもりのものを持ち出す行為。
どれも、人のすきをついた行為となっており、
恐らく悪意を持ってやろうと思えば簡単にやることができてしまう行為だと思われる。
対策
なりすましの対策としては
・パスワード設定の際は本人確認書類の提出を必要とする
・電話やメールでのパスワード通知はしない
など、全関係者共通のルールを定めることなどが挙げられます。
のぞき見の対策としては
・覗き見防止フィルターを張る
・スクリーンセーバーをかけておく
・付箋を貼らない
など、とにかく重要な情報が自分以外から見えないようにします。
ゴミ箱あさりの対策としては
・鍵付きのゴミ箱の設置
・シュレッダーの使用
・ゴミ箱フォルダ完全削除頻度の更新
など、ゴミを早めに復元できない状態にしてしまうことが挙げらます。
ただ、これらの対策をすれば完璧にセキュリティが守られるということはなく
ソーシャルエンジニアリングはあくまで人間のすきをつくものなので
セキュリティ漏洩の確率を減らせるというのが関の山です。
また、これらの対策はどれも手間がかかってしまい
煩雑なルールや回りくどい作業の発生にもつながるため
どこまで徹底するかは企業によっても別れます。
まとめ
ソーシャルエンジニアリングとは、
人間の弱みや心理につけ込み、巧みに個人情報や機密情報を詐取する手法のことです。
事例としてはなりすまし、のぞき見、ゴミ箱あさりがあり、
それぞれの対策としては、ルールの制定、覗き見防止フィルター、鍵付きのごみ箱を設置する等が挙げられます。
ただ、これらは万全な策ではないことを認識する必要があります。
自分なりにまとめてみましたが、いかがだったでしょうか。
「これは違う」、「この方が分かりやすい」といった意見がありましたら
コメントいただけますと幸いです。
では、こんなところで。
コメント