【情報セキュリティ】人の心理を突く罠!「ソーシャルエンジニアリング」|情報処理問題1000本ノック
どれだけ強固なファイアウォールを設置しても、パスワードを口頭で教えてしまえば意味がありません。技術を使わずに情報を盗み出す「ソーシャルエンジニアリング」の代表的な手口を攻略しましょう。
1. 問題:技術的手段を用いない攻撃
【 問題 】 情報セキュリティにおいて、人間の心理的な隙や、ゴミ箱の中の書類、あるいは肩越しに操作を覗き見るといった物理的な手段を用いて、パスワードなどの機密情報を入手する手法の総称はどれでしょうか?
ア、ソーシャルエンジニアリング イ、ブルートフォース攻撃 ウ、クロスサイトスクリプティング エ、中間者攻撃
2. 正解:人的セキュリティに関する正解
正解: ア、ソーシャルエンジニアリング
3. 解説:日常に潜む「盗み」の手口
ソーシャルエンジニアリングは、コンピュータの専門知識がなくても実行できてしまう、極めて古典的かつ強力な攻撃です。
【図解:代表的な3つの手法】
■ 1. ショルダーハッキング (Shoulder Surfing)
・ATMやPCの操作、スマホのパスコード入力を、文字通り「肩越しに覗き見る」行為。のぞき見防止フィルタなどの物理的な対策が有効です。
■ 2. なりすまし (Pretexting)
・システム管理者や清掃業者、取引先などを装って電話やメールをし、「トラブル対応のため」などの口実でパスワードを聞き出したり、不正な送金を要求したりする行為。
■ 3. スカベンジング (ゴミ箱あさり / Dumpster Diving)
・シュレッダーにかけていない廃棄書類や、メモ書きなどをゴミ箱から回収して情報を盗む行為。
■ 1. ショルダーハッキング (Shoulder Surfing)
・ATMやPCの操作、スマホのパスコード入力を、文字通り「肩越しに覗き見る」行為。のぞき見防止フィルタなどの物理的な対策が有効です。
■ 2. なりすまし (Pretexting)
・システム管理者や清掃業者、取引先などを装って電話やメールをし、「トラブル対応のため」などの口実でパスワードを聞き出したり、不正な送金を要求したりする行為。
■ 3. スカベンジング (ゴミ箱あさり / Dumpster Diving)
・シュレッダーにかけていない廃棄書類や、メモ書きなどをゴミ箱から回収して情報を盗む行為。
[ 防御のポイント ]
★ 物理的対策:離席時の画面ロック、シュレッダーの徹底、のぞき見防止フィルタ。
★ 運用的対策:パスワードを電話やメールで絶対に伝えないルール作り。
★ 教育:一人ひとりが「自分が狙われている」という意識を持つこと。
★ 物理的対策:離席時の画面ロック、シュレッダーの徹底、のぞき見防止フィルタ。
★ 運用的対策:パスワードを電話やメールで絶対に伝えないルール作り。
★ 教育:一人ひとりが「自分が狙われている」という意識を持つこと。
1. 理解のコツ: コンピュータを攻撃するのではなく、「人をだます」のがこの手法の本質です。「エンジニアリング(工学)」という言葉がつきますが、中身は非常にアナログな泥棒の技術に近いものです。
2. 試験対策の視点: 覗き見=ショルダーハッキング、ゴミ箱=スカベンジングというペアを覚えましょう。また、これらはISMS(情報セキュリティマネジメントシステム)の教育分野で頻出のトピックです。
4. まとめ
「人の心理や物理的な隙を突いて情報を盗む」。これがソーシャルエンジニアリングです。システムを鉄壁にするだけでなく、私たち自身の振る舞いやルールが、セキュリティの最後の砦(とりで)になります。
PR