PR
PR
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、技術ではなく人の心理や行動の隙を利用して、パスワードや個人情報などを引き出す攻撃手法の総称です。権威への信頼、親切心、焦りなどを突き、相手に自発的に情報を伝えさせたり、無意識に見られる状況を作る点が特徴です。
例えば、利用者や同僚になりすまして電話やチャットで認証情報を聞き出す、画面やキーボード入力を盗み見する、偽のメールやサイトで入力させる(フィッシング)、落とし物を装ったUSBメモリで注意を引く、といった行為が該当します。身の回りにある自然なやり取りに紛れるため、被害に気づきにくいのが厄介です。
攻撃者は事前に肩書や組織名、担当者名を調べ、もっともらしい口実(プレテキスティング)を用意します。緊急性や権威を演出して確認手順を省かせるのが狙いです。物理的には入館時に後ろから侵入する(テールゲーティング)なども含まれます。
技術的防御だけでは防ぎきれないため、身元確認の徹底、パスワードを口頭やメールで伝えない、画面ののぞき見対策、机上やゴミからの情報流出防止、不審連絡の報告と教育の継続が重要です。組織と個人の注意が、最終防衛線になります。
