図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ソーシャルエンジニアリングとは

投稿日:

ソーシャルエンジニアリングとは、個人の情報や企業情報などをコンピュータやネットワーク経由で入手するのではなく、物理的な手段もしくは心理的な手段によって入手する事を言います。ソーシャルエンジニアリングはサイバー攻撃者がコンピュータやネットワークに侵入するために必要な認証情報などを入手するために必要な事前作業となります。

ソーシャルエンジニアリングには、人間が大規模な集団の中でどのような影響を受けてどのような行動をとるのかを研究する社会工学という意味もありますので、区別するためにセキュリティのソーシャルエンジニアリングの事をソーシャルクラッキングやソーシャルハッキングと呼ぶ事もあります。

ソーシャルエンジニアリングの目的

攻撃者がソーシャルエンジニアリングを行う理由は、攻撃者が外部ネットワークからターゲットのネットワーク・コンピュータに侵入するために必要な情報(特に認証情報)を入手する必要があるからです。より高度な技術を持った攻撃者はそのような情報を持たずにネットワークやシステムの脆弱性を悪用して不正侵入する事ができるかもしれません。しかしながら、悪用できる脆弱性がない場合や脆弱性を悪用する悪意のあるスクリプトやマルウェアを作成するのに時間と費用が掛かる場合に、手っ取り早くソーシャルエンジニアリングで情報を不正入手するのです。

多くの皆さんがサイバー攻撃者は全ての活動をインターネット上で行っていると思ているでしょうが、実はサイバー攻撃者は様々なソーシャルエンジニアリングを駆使して事前に情報を収集した状態で、ハッキングを行っているのです。

ソーシャルエンジニアリングの物理的な手口

ソーシャルエンジニアで利用される物理的な手口は以下の通りです。

トラッシング(trashing)

社員になりすましてオフィスに入り、ゴミ箱のゴミから有益な情報を探す事をトラッシング(trashing)と言います。ゴミ箱には多くの有益な情報が捨てられています。いくら会社のポリシーで資料はシュレッダーにかけて捨てるか溶解用Boxに入れるように指示があったとしても、多くの社員が付箋のような小さいメモはゴミ箱に捨てています。攻撃者はこのようなメモをゴミ箱から探し出して情報を収集します。

また、シュレッダーで粉々になったゴミが袋に入れられて放置されているのも問題です。なぜなら攻撃者はそのシュレッダーで粉々になった紙の破片を持ち帰って、時間をかけて復元する事も出来るからです。これは特殊な能力が必要ではなく、だれでも時間がありパズルがすきであれば、シュレッダーで粉々になった紙資料を元の状態に戻すことができます。

ショルダーハッキング(shoulder hacking)

パソコンを操作している社員の後ろからキーボード操作や画面の情報を見る事をショルダーハッキングと言います。ショルダーとは「肩」の事です。つまり、パソコンを操作している人の肩越しに情報を盗み見る事からショルダーハッキングと呼ばれています。ショルダーハッキングはATMでお金をおろす人の暗証番号を盗み見る事にも利用されていますので、重要な作業を行う場合は、背後に不審者がいないことを確認して作業を行う必要があります。

ピギーバック(piggybacking)

オフィスに入館する際に、社員の同伴者のふりをして一緒に入館する事をピギーバックと言います。ピギーバックは英語でpiggybackと書きます。piggyとは豚の事を言い、backとは背中を意味します。ですのでpiggybackとは豚の背中という意味ですが、これは子豚が親豚の背中に乗って遊ぶ事を指しているようです。また、運送業界では乗り物が乗り物を運ぶ事をピギーバックを呼ぶようで、例えば、貨物車が車を運ぶ事をピギーバッグと呼びます。

オフィスに入館する際に、社員の同伴者のふりをして一緒に入館する事に使われるピギーバックは「相乗り」や「便乗する」と言う意味で利用されています。つまり、入館の権利のある社員に便乗して不正に入館する事をピギーバックと言います。

今でも多くのオフィスではピギーバックで入館する事が可能ですが、最近ではピギーバックを防ぐために一人ずつしか入館できないような物理的なエントリーの仕組みを導入している企業が多くなっています。

その他の手口

上記以外にも様々な手口がありますが、デスクやモニターに貼ってある付箋などからパスワードや重要な情報を取得する事ができます。特に付箋の場合は簡単に付箋自体を盗む事ができ、財布の中や靴の中などいかようにも隠す事が可能です。そして、付箋を盗まれたユーザは付箋がないことに気付きますが、付箋なので落ちてしまったのかな?くらいの感覚でしかありませんので特に気にする事なく、付箋を再びデスクやモニターに貼りつけます。

ソーシャルエンジニアリングの心理的な手口

攻撃者はユーザの心理を悪用して様々な攻撃を行います。心理的な手口はユーザによっては全く成功しませんが、攻撃者はターゲットを絞ってそのターゲットに特化した心理作戦を実行してきます。

ネームドロップ(name dropping)

上司や偉い人(役員など)を装って電話をかけて、装った人物の情報や会社情報を聞き出す事をネームドロップと言います。ネームドロップは元々は有名人や著名人と知り合いであると言いふらして自慢したり、自分を偉く見せる事を言います。ことわざにすると、虎の威を借る狐、といったところでしょう。

セキュリティの世界では、ネームドロップでは上司などの偉い人を装って威圧的な態度で情報を聞き出します。例えば、攻撃者がある偉いユーザのIDとパスワードを不正に入手したいとします。その場合攻撃者は偉いユーザになりすまし、ヘルプデスクに電話をかけて、威圧的な態度でパスワードをリセットさせようとします。またこの時、攻撃者はIDがわからないので、ヘルプデスクに「IDのスペルって正しいよね?」みたいな感じで上手くIDを聞き出します。ヘルプデスクはもちろん正規なプロセスでパスワードをリセットするように伝えますが、攻撃者は威圧的な態度で「これから経営会議があるんだ。責任は私がとる」などと言って押し通します。ヘルプデスクは偉い人が言っているのであれば仕方がない、と考えてパスワードをリセットしてしまいます。

その他の心理的な手口

振り込め詐欺に似ていますが、カード会社や銀行関係者を装って、カード番号や銀行番号とパスワードを聞き出す手口もあります。攻撃者はユーザに対して「あなたのカードが不正に利用されている」といって、不安をあおって正しい判断をおこせないようにします。

ソーシャルエンジニアリングとは違いますが、最近では「マイクロソフトのライセンスが不正に利用されているので、確認のために指定のURLにアクセスしてください」と言ったようなフィッシングメールが流行しているようです。これもユーザの不安を煽った心理的な手口です。このように攻撃者は様々な心理的な手法を使って重要な情報を不正入手しようとします。

ソーシャルエンジニアリングへの対策

ソーシャルエンジニアリングはコンピュータやネットワークを利用しませんので、効果的な対策を一律に実施する事が難しく、ユーザ一人ひとりの心構えが重要になってきます。その際に力を発揮するのが会社のポリシーやルールです。ソーシャルエンジニア対策を明文化して定期的にユーザ教育・啓蒙活動を行えば、ユーザ自身がソーシャルエンジニアのリスクを考えて行動を起こすようになります。

多くの企業が取り掛かっているソーシャルエンジニアリング対策の1つにクリアデスク・クリアスクリーンポリシーがあります。クリアデスク・クリアスクリーンとは、離席する際には机の上には重要な情報を置いておかず、必ず鍵をかけられるキャビネット等に片づけたり、パソコンにロックをかける事を言います。クリアデスクやクリアスクリーンを行う事によって、物理的にオフィスに侵入した攻撃者に対しても情報を隠す事ができます。

また、どんなに偉い人から電話がかかってきたとしても、ルールに則ったプロセスで対応する事が必要です。しかしながら、偉い人を装った攻撃者は威圧的な態度で様々な事を要求してくるでしょう。その場合は上司に相談したり、折り返しその偉い人に連絡する事が必要です。そうする事によって、本人か否かの判断を行う事もできますし、万が一本人であれば上司に相談する事によって正規のプロセスを踏んで早急に対応する事が可能になる事もあります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

脅威・脆弱性・情報資産そしてリスク 図解サイバーセキュリティ用語

リスク分析を行う際によるあるのが、リスクと脅威・脆弱性をごっちゃ混ぜにして考えてしまい、それぞれの定義を勘違いしてしまうことです。ここでは、リスクとは何か?そしてリスクを構成する要因(脅威・脆弱性・情 …

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。 パスワードリスト攻撃 攻撃者が …

コンテンツフィルタリングとは?

コンテンツフィルタリングとは、主にWebサイト・Webページの内容を監視して、あらかじめ設定された条件を基にWebサイトの閲覧を許可・禁止するシステムの事を言います。コンテンツフィルタリングはWebコ …

デジタルタトゥーとは?

デジタルタトゥーとは、インターネット上で公開されたり流出した個人情報などは、後から消すことが極めて難しい事を入れ墨に例えた表現です。もしかするとインターネット上で拡散した情報を消すより入れ墨を消す方が …

ウォードライビングとは?

ウォードライビング(Wardriving)とは、自動車や自転車で移動しながら無線LANのアクセスポイント(AP)を探して記録する事を言います。ウォードライビングは許可されていない無線LANにアクセスす …