ソーシャルエンジニアリング(ソーシャルハッキング)とは何か?攻撃手法(なりすまし・ショルダーハッキング・トラッシング・スケアウェア・フィッシング)と対策を解説
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要なIDやパスワードを、情報通信技術を使用せずに盗み出すことで、サイバー攻撃のひとつの手法です。ソーシャルハッキングと呼ばれることもあります。
ソーシャルエンジニアリングの多くは、人間の心理的な隙や行動のミスにつけ込むものです。高度な技術が必要ないため、誰でも攻撃可能であり、誰でも被害にあう可能性があります。
ソーシャルエンジニアリングの手法
ソーシャルエンジニアリングにおいて悪意のある第三者は、攻撃や詐欺を実行するために必要となる情報を収集します。
以下では、ソーシャルエンジニアリングの具体的な手法と対策方法を紹介します。
なりすまし
電話を利用したなりすましは、古くから存在する代表的な手法です。
悪意のある第三者は、何らかの方法で対象者のユーザー名を入手し、ユーザーのふりをして管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。
また、セキュリティ担当者を装い、ユーザーに「サイバー攻撃された形跡がある」などと嘘を伝えることで、情報を聞き出すこともあります。
電話ではパスワードなどの重要な情報を伝えないなどのルールを決めることが必要です。
ショルダーハッキング
ショルダーハッキングは肩越しに情報をのぞき見ることから名づけられた手法です。
パスワードやクレジットカード番号など、ディスプレイに映った情報を、第三者がのぞき見ることで、機密情報を入手します。社内だけでなく、カフェやコワーキングスペースなど公共の場所で、この手法が使われるケースも発生しています。
ショルダーハッキングを防止するには、のぞき見防止のフィルタを付けることや、短時間でロック画面に切り替わるように設定するなどの対策が有効です。
また、壁を背にするなど、できる限り後ろに人が立てないようにすることで、のぞき見られることを回避します。何より、席を離れる場合はPCをロックすることが大切です。
トラッシング
トラッシングは「ゴミ箱をあさる」という意味から名づけられた手法です。
攻撃者はゴミ箱に捨てられた資料を回収し、ID・パスワード、機器の設定情報、IPアドレスなどを不正に入手します。ネットワークに不正アクセスするための情報を収集する目的で使われることの多い手法です。
トラッシングへの対策は、シュレッダー処理や、溶解処理が有効です。機密情報を物理的に復元できないようにしてから廃棄します。
スケアウェア
スケアウェアはユーザーがアクセスしたWebサイト上に偽の警告を表示させる手法です。
悪意のある第三者は、Webサイトがウイルスに感染したかのようなポップアップを表示し、偽のアンチウイルスソフトをインストールするように誘導し、クレジットカード情報などの個人情報を盗んだり、危険なファイルをインストールさせたりします。
スケアウェアを回避するには、ポップアップが出てもクリックしないことが重要です。
フィッシング
フィッシングはユーザーを偽のWebサイトに誘導し、個人情報を盗み取る手法です。
悪意のある第三者は、配送会社の再配達や、電話料金の請求などを装ってユーザーにメールを送り、偽のWebサイトへ誘導し、ログイン認証情報を盗みます。
フィッシングへの対策として、心当たりのないメールが届いた場合はメールを開かない、リンクをクリックしないことが大切です。また、Webサイトへは、メールに記載されているリンクをクリックせず、直接Webサイトにアクセスするようにすることも大切です。