みなさんソーシャルエンジニアリングについてご存じですか?
ソーシャルエンジニアリングとは、コンピュータやネットワーク技術を利用せずに企業の機密情報などを、物理的手段(あるいは心理的手段)によって獲得する行為です。
第一回の情報コラムで「なりすましウイルス」についてご紹介しましたが、今回は人的行為による「なりすまし」を含めたソーシャルエンジニアリングの手口をご紹介します。
-
手口その1 構内侵入
- 偽造または拾得したIDカードで職員として入る
- 他の用件で訪問したついでに、他の部署に入る等
- 社員になりすます
- プロバイダなどのシステム管理者になりすます
- 企業のエグゼクティブになりすます
- ディスプレイの周りに貼られている付箋やメモを見る
- 机の上に放置された情報を見る
- 面会中に相手が席を外したすきにメモや手帳、パソコンのデータなどを見る
- 深夜に、目標とする企業のゴミ収集所に行って探す
- 清掃員としてオフィスに入り込んで探す
- 裏紙をメモとして利用している店舗や窓口を調べ、何かと口実をつけてメモをもらう
実際に建物内に侵入する行為
手口その2 なりすまし
不正アクセスの標的となる部署や個人に電話をかけ、ユーザIDやパスワードを巧みに聞き出す行為。
*電話だけでなく、葉書などでアンケートを装って情報を収集したり、なりすましメールによりだまして情報を収集したりする手口もある。
手口その3 のぞき見
オフィスに入り込み、情報をのぞき見る行為
手口その4 トラッキング
ゴミとして廃棄されるなど、不要となったものの中から、目的とする情報を探し、取得する行為。
スカビンジングともいう。
昨今、コンピュータウイルスやハッキングによる情報漏洩が大きく取り上げられておりますが、情報漏洩の発生原因で最も多いのは管理ミスや不注意等の人的要因によるものです。
ソーシャルエンジニアリングもこの管理ミスや不注意につけ込んで情報収集する手段の一つです。
クリアデスクポリシー(机の上など身の回りの整理整頓など)やクリアスクリーンポリシー(離席時のモニタ電源オブやログアウトなど)及び入退室管理を徹底するなど、日常の活動で常に情報セキュリティを意識し行動することでソーシャルエンジニアリング対策は可能です。
そして、これがコストをかけずにできる身の回りの情報漏洩対策にもなるのです。