パスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す『ソーシャルエンジニアリング』。
多くは人間の心理的な隙や行動のミスにつけこむものになります。
今回はその主な手法と対策について見ていきたいと思います。
ソーシャルエンジニアリングの主な手法と対策
①ショルダーハック
言葉の通り後ろから覗き見てパスワード等を取得することです。
具体的にはディスプレイに貼り付けられたパスワードを見たり、キーボードを入力するところを後ろから盗み見るなどが挙げられます。
【対策】
・人目につくところには機密情報を記載した紙などをおかない
・離席する際はパソコンやスマホの画面を必ずロック
・機密情報の取り扱い時には不審人物の有無を確認
・カフェなどの公共の場所では壁際の席を選
②トラッシング
ゴミ箱などから情報を漁り、パスワード等の情報を取得する行為です。
深夜にターゲットの企業のごみ収集所に行ったり、清掃員になりすますなどして、ゴミを漁るケースが挙げられます。
【対策】
・紙類は使用後に必ずシュレッダーにかける
・記録媒体であれば確実に消去
・重要な情報は鍵をかけて第三者が見れないようにす
③ピギーバック
1人の認証で複数人が出入りする行為を指します。
ピギーバックによってオフィスの内部に侵入し、パスワード等の情報を盗み取るケースが挙げられます。
【対策】
・監視カメラの設置
・アンチパスバックを導入し、入室時に認証がされていない場合は退出の許可がされない仕組みを作る
④リバースソーシャルエンジニアリング
あらかじめ仕掛けを作っておき、ターゲットの行動を待つ手法です。
メールで偽のサイトに誘導し、パスワード等を入力させることで情報を盗み出すフィッシングなどが挙げられます。
【対策】
・メールを無条件に信頼して、リンクをクリックしたり添付ファイルを開いたりしない。
・メールに記載されているリンクにSSLが適用されているか確認
・アクセスして良いか判断がつかない場合は、正規のWebサイトや金融機関の郵便物等に記載されている連絡先に問い合わせ
最後に
通信を介さなくても、少しの気の緩みや行動のミスで情報がいつどんな形で漏洩されるかがわかりません。
事業者は社内でルールの策定、周知、教育を徹底し、情報漏洩が発生しないようセキュリティへの意識を高めていくよう努めていきましょう。