「ソーシャルエンジニアリング」なんて呼ばずに「犯罪」と呼ぶべきじゃないだろうか

「ソーシャルエンジニアリング」なんて呼ばずに「犯罪」と呼ぶべきじゃないだろうか

イントロダクション

ITセキュリティは個人はもちろん企業・団体にとって重要であることはもはや誰もが認識していることでしょう。
コンピューターウイルスやマルウェア、ネットワークへの侵入を試みるハッキングやトラッキング、サイバーテロ等、セキュリティリスクは列挙にいとまが無く、日々複雑化・高度化していっています。それに伴いセキュリティへの投資も拡大していくことになりますし、セキュリティ担当者も知識や情報を日々アップデートしていかなければいけなくなります。

そういった高度なイメージの強いITセキュリティですが、今回お話する「ソーシャルエンジニアリング」は、恐らく最もアナログであり、そして最も狙われる危険性の高いセキュリティリスクではないかと思います。

「ソーシャルエンジニアリング」なんて言われると、SNSとかソーシャル系の技術のことのように思ってしまいそうですが、実はセキュリティに対する攻撃の一種です。
ネットワークやシステムに侵入するためのログイン情報を、人間の心理的な隙や行動・管理の甘さを突いて入手する攻撃になります。
ネーミングがわかりにくい上に、実際に行われる攻撃内容からして「わざわざそんな名前つけなくても」と思えてしまうものなのですが、実際一番身近で危険性が高い攻撃です。

それではソーシャルエンジニアリングとは何かお話していきたいと思います。

スポンサーリンク

ソーシャルエンジニアリングについて

ショルダーハッキング

ソーシャルエンジニアリングの定義の1つとして「情報通信技術を使わない」というものがあります。ではどうやって情報を入手するのか。

最も簡単な方法が「盗み見る」です。
人がパスワードを打っているのを背後から盗み見てパスワードを入手します。肩越しに盗み見る=ショルダーハッキングというわけです。

広義のショルダーハッキングでいうと、例えばAndroidスマホのロック解除パターンを、教えたわけでも無いのに何故か家族全員知っているとかあるのではないでしょうか。

アナログと思うかもしれませんが、セキュリティ的にはアナログだろうがデジタルだろうが関係ありません。誰が利用しているパスワードなのか、本人がそこにいるのですからすぐにわかるという意味ではむしろ危険度は高いかもしれません。

トラッシング

トラッシングとはゴミ箱等を漁ってログイン情報等が書かれたメモ等を探し出す方法です。
対象は紙だけではなく記憶媒体(CD-R等)の場合もあります。

一般社員でもそういった情報を裏紙や付箋に走り書きしてあることがあるかもしれませんが、情シスの場合ログイン情報だけではなく、システム情報、ネットワーク情報等の情報が入っている場合があります。

…この辺まで来た辺りで、「これ、情報セキュリティリスク?ただの犯罪じゃないの?」と思った方。その感覚ほぼあたっていると思います。
それが確信に変わるのが最後に紹介する手法です。

なりすましでパスワードを聞き出す

情報システム部門になりすまして電話やメールで社員からログイン情報を聞き出す方法です。システムメンテナンスに必要とかなんとか理由をつけてパスワードを聞き出すことで不正ログインが可能になります。

それもう特殊詐欺(=オレオレ詐欺)じゃん!

私もそう思います。聞き出してる内容が銀行口座の暗証番号なのかシステムログインパスワードなのかの違いでしかありません。
ここまでくると明確に犯罪とわかる物証(電話)も残るので、リスクに対して得られるリターンが少ないのではないかと思うかもしれませんが、自社の状況を振り返ってみましょう。

最も根本的で、最も守るのが難しいセキュリティ

パソコンの画面に付箋でパスワード張り付けてる人がいたりしませんか?
肩越しどころかパスワードがフルオープンに晒されてる状態で、取得し放題ですよね。

資料の廃棄ルールは守られていますか?
シュレッダーや溶解文書に回るべきものが、段ボール箱に詰められてそのまま廃棄されたりしていませんか?

システム保守でパスワード情報を電話で直接聞かれたり伝えたりしていないでしょうか?
メール本文に平文でパスワードを書いて送受信したりしてませんか?

ソーシャルエンジニアリングが狙っているのは、こうした根本的な管理の杜撰さです。
こんな状況では情報が盗まれたとしても気づくことすらないかもしれません。

そしてこうした状況は、どんなツールやシステムを導入してもすぐに改善されることはありません。ルールの設定、順守状況の監視、教育、啓発、とにかく地道な作業でしか状況を変えることはできません。
そういう意味で最も守ることが難しいセキュリティなのではないかと思います。

何がセキュリティリスクになるのか理解してもらえない年配の管理職だったり、自分はセキュリティ管理の枠に入っていないと思っている経営層だったり、効率を重視しすぎてセキュリティで作業効率が下がることに異常なまでに抵抗する社員だったり、割合はまちまちかもしれませんが一定数いるのではないでしょうか。

スポンサーリンク

あとがき

大仰な脅し文句も時には必要

ソフトベンダーで開発SEをしていた頃口酸っぱく言われていたのが、「パソコンでも資料でも、持ち出すときは一千万円の札束を持ち歩いていると思え」でした。
ベタかもしれませんが、下手なルールより感覚的にわかりやすい例えだと思います。
ソーシャルエンジニアリングなんてわかりにくい言葉で説明するのではなく、「犯罪に巻き込まれた時、対策ができていないと、被害者ではなく企業にとっては加害者になる=セキュリティ対策ができていないのは犯罪者」くらい大仰な脅し文句でも、事の重大さを伝える場合は時には必要かもしれません。

セキュリティカテゴリの最新記事