ソーシャルエンジニアリングとは
この記事は約 2 分で読めます
ソーシャルエンジニアリングとは、技術的な手段ではなく、人間の心理的な隙や 信頼関係を悪用して機密情報を引き出す攻撃手法の総称です。どれほど堅牢な セキュリティシステムを構築しても、それを操作する人間が騙されれば意味がありません。 セキュリティの最も脆弱なリンクは常に「人間」であるという原則に基づく攻撃です。
代表的な手口
プリテキスティングは、攻撃者が IT サポートや上司などの信頼できる人物を装い、 パスワードや機密情報を聞き出す手口です。テールゲーティングは、正規の従業員の 後ろについてセキュリティゲートを通過する物理的な侵入手法です。 ベイティングは USB メモリなどにマルウェアを仕込み、好奇心から接続させる手口です。 クイドプロクオは「見返り」を提示して情報を引き出す手法で、 「無料のセキュリティ診断」を装うケースなどがあります。
人間の心理を突く攻撃手法については、ソーシャルエンジニアリングの名著 (Amazon)が古典的な参考文献として知られています。
防御の考え方
ソーシャルエンジニアリングへの防御は、技術的対策と人的対策の両面が必要です。 不審な依頼には必ず本人確認を行い、電話やメールでパスワードを伝えないことを 徹底します。組織では定期的なセキュリティ教育と模擬フィッシング訓練が効果的です。 パスつく.com で生成したランダムなパスワードは推測が不可能なため、 攻撃者が「パスワードのヒント」を聞き出そうとしても意味をなしません。セキュリティ意識向上の教材 (Amazon)も組織の防御力強化に役立ちます。