使える! 情シス三段用語辞典46「ソーシャルエンジニアリング」

2017/05/29

常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなるとさらに難しくなります。本用語辞典では数々のIT用語を三段階で説明します。

一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け 「ソーシャルエンジニアリング」の意味

ネットワークに不正侵入するために、IT技術を使わずパスワードを盗み出そうとする技術。そもそもの意味は「社会工学」だが、人間の心理的なすきや、行動のミスなどを利用してパスワードを盗む技術のことを指すことが多い。

「電話で利用者からパスワードを聞き出す」「重要なパスワード情報を肩越しにのぞき見る(ショルダーハッキング)」「ゴミ箱から機密情報、特にパスワードのヒントをあさる(トラッキング)」などが代表的な手口。最近では、標的型攻撃メールで特定の組織を狙うために、業務メールを装う手口が使われることが多いが、これもソーシャルエンジニアリングの手口の1つといえる。

二段目 ITが苦手な経営者向け

社長の会社では、セキュリティを強化しているそうですね。そのために、最新のセキュリティサービスを導入しているとか。それはそれでとても大事なことなんですが、実は、「人間の行動そのもの」が原因になって不正アクセスをされることが多いことをご存じですか?

例えば、悪い連中は社長の会社のパソコンからパスワードを盗みだそうとします。それをIT技術ではなくて、人の心理のすきを突いたり、行動のミスを突いたりして盗み出すような手口を使うのです。それを「ソーシャルエンジニアリング」といいます。実際はこれで大変な被害が起きています。

単純なところでは、社長や重要な取引先になりすまして、電話で社員からパスワードを聞き出す方法があります。ほかにも社長の会社の社員がカフェでパソコンを使っている時に、後ろからのぞき見る、会社のゴミ箱をあさって、パスワードや、そのヒントにつながるものを盗み出すなどの方法があるのです。

どれも原始的でアナログな方法ですよね。しかし、これでパスワードが漏れてしまったら、後は悪い連中のやりたい放題です。原始的ですが破壊力があるのです。近ごろ問題になっている「標的型攻撃メール」も、これに近い手口なのです。だからこそ、社員にこういう手口があることを周知して、セキュリティ教育を行うことが大事です。もちろん社長自身も気を付けてください。

三段目 小学生向け

みなさんは家の鍵を持っていますか? スマートフォンやタブレット、パソコンなどを使う時にも家の鍵と同じようなものが必要になります。それを「パスワード」といいます。

このパスワードが悪い人に知られてしまうと、勝手にスマートフォンやタブレット、パソコンなどからデータが盗み出されたり、銀行からお金を勝手に引き出されたり、クレジットカード情報を悪用して知らない間に買い物をされてしまったり、大変なことになるのです。

そのため、お父さんやお母さんは、最新の防犯ソフトを入れたりしてパスワードを盗まれないように気をつけて生活しているはずです。しかし、実際に盗み出されるのは、コンピューターの技術などを使ったハイテクな方法ではなくて、人間の「うかつなミス」を利用した手口が多いのです。これを「ソーシャルエンジニアリング」といいます。

例えば、お父さんがパスワードを書いた紙を捨てます。それをゴミ箱から拾って悪用するという方法があるのです。これでは、どんなに最新の防犯ソフトを使っても、簡単にわかってしまいます。

お父さんの会社の人になりすまして電話をかけてきて「お父さんの机の上に貼ってあるパスワードを教えて」なんて言ってくる悪い人もいます。さらに、パソコンを操作している後ろや横からパスワードをのぞき込む手口もあるんですよ。

でも、どの方法もちょっと気を付ければ防げます。だから、最新の防犯ソフトを使っていても、自分がうっかりパスワードを漏らしてしまうような行動をしていないか、気を付けなくてはいけないんですよ。

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

  2. 【情シス基礎知識】今だからこそWindows Helloが生きる!?

  3. いまさら聞けない【情シス知識】Chromebookは安全なのか?

  4. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(後編)

  5. 松田軽太の「一人情シスのすゝめ」#17:嫌われる情シスと感謝される情シスの違いとは

  6. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  7. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  8. テレワークとIT業務委託のセキュリティ実態調査-IPA

  9. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  10. ”ウィズコロナ”時代の情シス業務

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 「Chromebookにはウィルス対策がいらない」そんな言葉を見聞きしたことはないでしょうか? 文…
  2. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  3. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  4. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  5. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
ページ上部へ戻る