こんにちは!
今回はサイバー犯罪の一種であるソーシャルエンジニアリングについて解説します。
あまり聞き馴染みのない言葉かもしれませんが、サイバー犯罪の手口としては非常に一般的です。実際、多くの情報漏洩案件がこのソーシャルエンジニアリングによって引き起こされています。
攻撃者が人間の心理や行動を巧みに利用し、パスワードや機密情報を騙し取ることで、不正アクセスやデータの流出を引き起こします。
今回は、その手法と対策について詳しく見ていきましょう。
1. ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、技術的な攻撃ではなく、人間の心理や信頼関係を利用して情報を引き出す手口のことを指します。
具体的には、攻撃者が被害者に偽の情報を提供し、それを信じさせることで、機密情報やアクセス権限を騙し取ることや、企業内部の人間が攻撃者となり悪意を持って機密情報を盗み取ること等を目的としています。
代表的な手法
- フィッシング:偽のメールやウェブサイトを使って、被害者にパスワードやクレジットカード情報を入力させる手法です。攻撃者は本物そっくりのサイトを作成し、リンクをクリックさせて情報を取得します。
- 電話詐欺:攻撃者が企業の従業員や個人に電話をかけ、偽の身分を名乗って情報を引き出します。たとえば、ITサポートを装ってパスワードを尋ねるケースがあります。
- ショルダーハッキング:攻撃者が物理的に近づき、被害者が入力しているパスワードや機密情報を覗き見する手法です。
- スカベンジング:ゴミ箱などから廃棄されたメモや書類を盗み見て、機密情報を取得する手法です。
- テールゲーティング:正当な権限を持つ従業員の後ろに続いて物理的にセキュリティを突破する手法です。例えば、会社の建物に侵入するために、従業員が入室する際に後ろからついて行くことがあります。
ソーシャルエンジニアリング攻撃者は、外部からだけでなく、内部の従業員や関係者である可能性もあります。内部者が意図的に情報を漏洩させる場合や、誤って情報を提供してしまうケースも考えられます。
このため、社内の情報セキュリティ対策も徹底する必要があります。
2. ソーシャルエンジニアリングの被害状況
ソーシャルエンジニアリングは、サイバー犯罪の中で非常に多くの割合を占めています。
データ漏洩の主な原因として人的エラーや内部者のミスが大きく関与しており、その多くがソーシャルエンジニアリングに起因しています。特に、パスワードの漏洩や不正アクセスの事例が多く報告されています。
被害例
- フィッシング攻撃によって大手企業の機密情報が流出し、大きな経済的損失を被った事例。
- 電話詐欺によって銀行のシステムに不正アクセスが行われ、大規模な不正送金が発生したケース。
- テールゲーティングによって物理的に建物内部に侵入しデバイスが盗難され機密情報が漏洩するケース。また喫煙所等に張り込み従業員同士の会話から機密情報を入手するケース等。
3. ソーシャルエンジニアリングに対する対策
ソーシャルエンジニアリングに対抗するためには、以下のような日常的な対策を講じることが重要です。
パスワード管理
- パスワードは紙に書いてデスクやモニターに貼らず、パスワード管理ツールを活用しましょう。これにより、強力で複雑なパスワードを安全に管理できます。
物理的なセキュリティ
- メモや機密情報が記載された書類は、シュレッダーで処理してから廃棄することが大切です。これにより、物理的な情報漏洩のリスクを軽減できます。
- 離席する際は、必ずパソコンの画面ロックをかけましょう。簡単な操作で、誰かが不正にアクセスすることを防げます。またセキュリティワイヤーで物理的に持ち出しができないようにしましょう。
情報共有の注意
- 社内外の人から機密情報の提供を求められた場合、相手の身元をしっかりと確認し、疑わしい場合は情報を共有しないようにしましょう。
- 不特定多数が集まる場においては、会話の内容に注意しましょう。機密情報や個人の特定につながる可能性のある会話はやめましょう。
ソーシャルエンジニアリングの教育
- 社員への定期的な教育を通じて、ソーシャルエンジニアリングの手口や対策を周知することが、被害を防ぐための鍵です。
4. まとめ
ソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない、人間の心理を突いたサイバー犯罪です。
しかし、日常業務で少しの注意を払うだけで、そのリスクを大幅に減らすことができます。今日紹介した対策を、ぜひ日常の中で実践し、安心・安全な環境を守ってください。
コメント