ソーシャルエンジニアリングとは？具体的な手口や対策を簡単に紹介！

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、シンプルな手法で機密データを窃取することです。

たとえば一般的にイメージしやすいサイバー攻撃は、通信をハックして情報を盗み取ります。しかしソーシャルエンジニアリングでは、そのような専門的な技術は使いません。「携帯電話のパスワードを盗み見る」などのシンプルな手法で、機密情報を窃取します。

一般家庭でも起こりうる手法なので軽視されがちですが、標的型攻撃のきっかけにもなるので注意が必要です。人の油断や心理的な隙を狙った攻撃なので、ウイルス対策ソフトや多重防御などでの対策は難しいといえるでしょう。

ソーシャルエンジニアリングの手口

ソーシャルエンジニアリングは、どのような手口で行われるのでしょうか。

電話で情報を聞き出す

電話で情報を聞き出す手法は、昔から行われています。IDをどこかで入手し、ユーザーとしてシステム管理者にパスワードを聞き出したり、システム管理者としてユーザーからパスワードを確認したりするのが一般的です。

最近は、偽の情報を流してユーザーの方から電話をかけさせる「リバースソーシャルエンジニアリング」も有名です。この手法は、「システムの不具合が起こった」などのフレーズを使い、違和感なく情報を聞き出します。ユーザーを能動的に行動させるよう誘導するのが特徴です。

のぞき見をして情報を得る

ターゲットが端末操作している時に、横からパスワードを盗み見るなどして情報を抜き取ります。画面上における指の動きから、暗証番号を予測するケースもあるようです。ショルダーハッキングとも呼ばれ、電話と同じく昔から行われています。カフェや公共の場で端末を操作する方は注意しましょう。

捨てられたゴミから探る

社内外で捨てられたゴミから、機密データを盗み出す手法です。ラッシングやスカベンジングとも呼ばれ、捨てられた資料などから、サーバの設定内容やネットワーク構成などを盗み出します。オフィスへの入退出を管理していない企業は要注意です。

ソーシャルエンジニアリングの対策

ソーシャルエンジニアリングを防止するには、どのような対策が効果的なのでしょうか。

怪しい電話の問い合わせは折り返す

情報を聞き出そうとする怪しい電話には、折り返すなどの対応が必要です。どれだけ電話口の相手が信用に足る人物でも、必ず一回は担当部署に確認をとりましょう。特にシステム管理者を名乗る場合は、注意が必要です。上司であることを名乗り、強制的に情報を取得する可能性もあります。

一般的にシステム管理者が、電話で機密情報を聞き出すことはありません。ちょっとでも不審な点を感じたら、折り返す旨を伝え、内容の信憑性を確認しましょう。本人が特定できない限り、秘匿性のある情報を教える必要はありません。もし仮に本当の上司だった場合は、別の意味で問題であり、セキュリティルールの見直しが必要です。

入退出管理やデータ管理を徹底する

入退出管理を徹底することで、不正侵入を防げます。不用意な入退室をなくせば、スカベンジングによる被害も減るでしょう。「施錠管理」「入退室履歴の台帳記入」「身分証の携帯」などを行い、入退室を厳しく管理しましょう。

またデータの廃棄方法も、ルール化すべきです。個人の裁量に任せていては、機密データが不用意に廃棄される可能性があります。ソーシャルエンジニアリングを防ぐには、「機密データ用のゴミ箱を用意する」「必ずシュレッダーにかける」などのルールが必要です。特にUSBメモリなどの外部記憶媒体は情報量が膨大で、流出したときの被害も大きくなります。

よって「ファイルを暗号化する」「必ず粉砕する」などの対応を施します。

対策をしてソーシャルエンジニアリングから自社を守ろう！

ソーシャルエンジニアリングは、電話やのぞき見、捨てられたゴミなどから情報を窃取します。人の油断や心理的な隙を狙った攻撃なので、ウイルス対策ソフトなどで対策するのは難しいでしょう。被害を抑えるには、「怪しい電話の問い合わせは折り返す」「入退出管理やデータ管理を徹底する」といった、社員主導の対策が必要です。

防御策を講じて、ソーシャルエンジニアリングから自社を守りましょう。