使える! 情シス三段用語辞典46「ソーシャルエンジニアリング」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなるとさらに難しくなります。本用語辞典では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け 「ソーシャルエンジニアリング」の意味
ネットワークに不正侵入するために、IT技術を使わずパスワードを盗み出そうとする技術。そもそもの意味は「社会工学」だが、人間の心理的なすきや、行動のミスなどを利用してパスワードを盗む技術のことを指すことが多い。
「電話で利用者からパスワードを聞き出す」「重要なパスワード情報を肩越しにのぞき見る(ショルダーハッキング)」「ゴミ箱から機密情報、特にパスワードのヒントをあさる(トラッキング)」などが代表的な手口。最近では、標的型攻撃メールで特定の組織を狙うために、業務メールを装う手口が使われることが多いが、これもソーシャルエンジニアリングの手口の1つといえる。
二段目 ITが苦手な経営者向け
社長の会社では、セキュリティを強化しているそうですね。そのために、最新のセキュリティサービスを導入しているとか。それはそれでとても大事なことなんですが、実は、「人間の行動そのもの」が原因になって不正アクセスをされることが多いことをご存じですか?
例えば、悪い連中は社長の会社のパソコンからパスワードを盗みだそうとします。それをIT技術ではなくて、人の心理のすきを突いたり、行動のミスを突いたりして盗み出すような手口を使うのです。それを「ソーシャルエンジニアリング」といいます。実際はこれで大変な被害が起きています。
単純なところでは、社長や重要な取引先になりすまして、電話で社員からパスワードを聞き出す方法があります。ほかにも社長の会社の社員がカフェでパソコンを使っている時に、後ろからのぞき見る、会社のゴミ箱をあさって、パスワードや、そのヒントにつながるものを盗み出すなどの方法があるのです。
どれも原始的でアナログな方法ですよね。しかし、これでパスワードが漏れてしまったら、後は悪い連中のやりたい放題です。原始的ですが破壊力があるのです。近ごろ問題になっている「標的型攻撃メール」も、これに近い手口なのです。だからこそ、社員にこういう手口があることを周知して、セキュリティ教育を行うことが大事です。もちろん社長自身も気を付けてください。
三段目 小学生向け
みなさんは家の鍵を持っていますか? スマートフォンやタブレット、パソコンなどを使う時にも家の鍵と同じようなものが必要になります。それを「パスワード」といいます。
このパスワードが悪い人に知られてしまうと、勝手にスマートフォンやタブレット、パソコンなどからデータが盗み出されたり、銀行からお金を勝手に引き出されたり、クレジットカード情報を悪用して知らない間に買い物をされてしまったり、大変なことになるのです。
そのため、お父さんやお母さんは、最新の防犯ソフトを入れたりしてパスワードを盗まれないように気をつけて生活しているはずです。しかし、実際に盗み出されるのは、コンピューターの技術などを使ったハイテクな方法ではなくて、人間の「うかつなミス」を利用した手口が多いのです。これを「ソーシャルエンジニアリング」といいます。
例えば、お父さんがパスワードを書いた紙を捨てます。それをゴミ箱から拾って悪用するという方法があるのです。これでは、どんなに最新の防犯ソフトを使っても、簡単にわかってしまいます。
お父さんの会社の人になりすまして電話をかけてきて「お父さんの机の上に貼ってあるパスワードを教えて」なんて言ってくる悪い人もいます。さらに、パソコンを操作している後ろや横からパスワードをのぞき込む手口もあるんですよ。
でも、どの方法もちょっと気を付ければ防げます。だから、最新の防犯ソフトを使っていても、自分がうっかりパスワードを漏らしてしまうような行動をしていないか、気を付けなくてはいけないんですよ。