目次
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。
上記のようなアナログ手法の攻撃は、USB接続以外はいつ被害にあったかわかりにくい、原因も突き止めにくい、万全な対策も取りにくいため、個人毎に注意しなければなりません。
何気ない日常業務でもリスクは潜んでいますのでご注意を!
ショルダーハッキング
肩越しに画面を覗き見し、パスワードやクレジットカード番号等の機密情報を不正に入手する攻撃手法
電車内・公共エリア等は、特に注意が必要です。
なりすまし
情報システム部門の担当者や銀行のカスタマーサポートなどになりすまし、電話で機密情報を聞き出す手法
ごみ箱をあさる(トラッシング)
ごみ箱に捨てられた紙の資料や記憶媒体などから、システムの設定情報や、ユーザー名・パスワードなどの不正アクセスするための情報を探し出す行為
釣り餌(ベイティング)
マルウェアが仕込まれたUSBメモリを人目の付くところに置き、拾って接続したパソコンをマルウェア感染させる手法
ソーシャルエンジニアリングを利用した主なサイバー攻撃
- フィッシング、スミッシング
フィッシングメールやSMS(ショートメッセージ)を利用した偽の通知 - スピアフィッシング
特定の相手を定めて集中的に攻撃、メールを送りつけフィッシングサイトへ誘導し情報搾取、またはキーロガーなどのマルウェアをインストールさせ、入力情報を搾取 - ビジネスメール詐欺(BEC)
自社の経営層や取引先になりすまし、費用の振込先変更等を依頼 - リバース・ソーシャル・エンジニアリング
メールなどでパスワードの更新通知やサポート番号の変更をアナウンスし、ターゲットが主体的に連絡を行うように仕向ける攻撃 - スケアウェア
偽の警告画面を表示し、偽のサポートへ電話を掛けさせ、金銭要求 etc.
サイバー攻撃には、ソーシャルエンジニアリングの手口が多く用いられています。
盗んだ情報を元に攻撃を行い、情報・金銭搾取、マルウェア感染、ランサムウェア等様々な被害につながります。
対策
組織全員での対応
事務所の外や、電話経由といったPCを介さない攻撃が存在することを意識しましょう
- 日頃から不審なものは確認、報告と情報共有、インシデント時の対応方法の確認を
- パソコン以外にも、紙資料等の盗み見、シュレッダー処理漏れによる情報漏洩にも注意を
- 外でも利用するPCにはプライバシー保護フィルターの利用、資料を開く際は周囲の確認を
人為的ミスの対応
不注意等の人為的ミスは避けられません。
PCの取り扱い、持ち出しルール等を定め、定期的なセキュリティ教育を実施しましょう
