【情報Ⅰ#34】ソーシャルエンジニアリング、手口や対策は?|高校授業_情報1・共通テスト対策【用語解説・授業動画】

  • 前回はファイアウォールについて解説しました。
    ファイアウォールとは、企業などの特定の内部ネットワークに対して、外部による不正アクセスから内部ネットワークを守る仕組みのことを言います。
    ファイアウォールでは、ポート番号やIPアドレスによって内部ネットワークにアクセスして良いかどうかを判断しています。
    この手法をパケットフィルタリングと言い、不正アクセスを防いでいるということもお話しましたね。
    本日は、人の不注意に付け込んで機密情報を不正に入手するソーシャルエンジニアリングについて、詳しく解説していきます。

①ソーシャルエンジニアリングとは

  • ソーシャルエンジニアリングとは、人の心のスキを狙ったサイバー攻撃です。
    ソーシャルクラッキングとも呼びます。
    DoS攻撃やマルウェアとは少し異なり、会話を盗み聞きしたり、メモを盗み見たりといった方法で、ネットワークに入る際に必要となるIDやパスワードなどの重要な情報を入手します。
    また、知人を装って詐取するなど、人に対する攻撃手法を取ることが特徴です。
    簡単に言うと、コンピュータを使わないで行うサイバー攻撃だと思ってください。
  • いろいろなサイバー攻撃があるんだね。
  • マルウェアやサイバー攻撃と比較すると、発生する頻度はそう高くはありませんが、ソーシャルエンジニアリングの場合は、被害にどのタイミングで遭ったのかを特定しづらいという特徴があります。
    また、最近はその手法がより巧妙化していることから防止することが難しく、従業員のセキュリティ意識を高めたり、組織的に対策を講じる必要があります。
    なので、皆さんもこの動画でソーシャルエンジニアリングの手法などをしっかりと勉強し、知識を付けて対策を行ってください。

②ソーシャルエンジニアリングの攻撃手法

  • ソーシャルエンジニアリング攻撃の手口は、さまざまな種類があります。
    実際にどのような手口が使われているのでしょうか。
    代表的なパターンを3つご紹介します。

1.なりすまし

  • これはオレオレ詐欺のサイバー攻撃版と言っても良いでしょう。
    電話を使ったソーシャルエンジニアリングは、古くからある代表的な手口の1つとも言えます。
    例えば、
    「今日から入社した者だが、山田部長に緊急の連絡をしたいが電話番号が分からない。」
    「システムメンテナンスのため、サーバのIDとパスワードを教えて欲しい」
    といったように、社員やエンジニアを装って電話を掛けてくるケースがあります。
  • そんなのに引っかかるの?
  • 社員が数人しかいない中小企業ではあまり起こりえませんが、社員数が1000人を超えるような大企業では、部署もたくさんあり、名前と顔を知らないという人も多いですので、そういった企業が狙われることが多いですね。
    また、役所などの自治体も狙われやすいです。
    実際、2021年2月に、実在する自治医科大学医学部の卒業生になりすまして、奈良県に電話をし、対応した職員が医療機関に勤務する17名分の氏名、所属先、連絡先電話番号を伝えてしまったという事例があります。

2.ショルダーハッキング

  • ショルダーハッキングは、誰かがコンピュータやタブレット等に重要な情報を入力している際に肩越しからのぞき見る方法です。
  • 姑息~!!
  • 電車やバスなどでスマホを使う人も多く、隣や前にいる人を気にせず、パスワードを入力している人も多いですが、ショルダーハッキングの場合には、会社内だけでなく、公共の場所においても注意する必要があります。
    特に最近はテレワークなどの普及によって働く場所が増えてきているため、ショルダーハッキングによる被害も起こりやすくなっています。
    また、今では誰でもスマホを持っていて、カメラ機能も充実しています。
    実際に起きた事例ですが、コンピュータを使ってカフェで仕事をしているときに、画面に写っていたまだ発売前の新製品の情報を後ろから撮影されて、それが流出してしまったということもあります。

3.トラッシング

  • トラッシングとはゴミ箱に捨てられた、重要情報が書かれた用紙やUSB、DVDなどを漁り、不正に入手する方法です。
    trashはゴミという意味で、そこから名付けられています。
    印刷ミスした資料や、不要となった顧客リスト、不在時の伝言メモなどを何も考えずにゴミ箱にポイッと捨ててしまう人がいます。
    また、データの入ったDVDやUSBなどを捨ててしまう人がいます。 そんなゴミをゴソゴソ漁って情報をゲットする行為がトラッシングです。
  • 名前はカッコいいけど、やっていることはかっこ悪い。
  • 一見、地味な行為ですが、「ゴミは犯罪者には宝の山」と言われるほど情報を得るにはかなり有効なようです。

③ソーシャルエンジニアリングの対策

  • 今ルークスが言った3つの手口の被害に遭わないようにするにはどうすればいいの?
  • 攻撃の手口を知った上で、どのように対策すべきかを考えましょう!
    まず、電話で機密情報を聞き出すことへの対応ですが、機密情報を伝達するときの方法を定めて、その手順に従って行うことが大切です。
    特に、個人に係わる情報を電話で伝える際には、本人かどうかを必ず確認します。
    具体的には生年月日や住所を確認したり、登録時のパスワードを入力して本人確認を行うことは皆さんも経験しているのではないでしょうか?
    また、ショルダーハッキングやトラッシングに関しては、スクリーンにのぞき見防止フィルムを貼り覗いても見られない仕組みを作る、重要な情報はシュレッダーで裁断するなどの対策があるでしょう。
    しかし!最も重要な対策は、従業員のセキュリティ意識を高めることです。
    ソーシャルエンジニアリングにより情報が漏洩する原因のほとんどが、重要情報を預かる人のセキュリティ意識の低さとなっています。
    伝説のハッカーである、ケビン・ミトニック氏は「一番の脆弱性は、人間の愚かさ」と言っています。
    これは、どんなに強固なセキュリティ設備を用意しても、それを管理する人間の意識が低ければ情報が漏洩してしまうということです。 だからこそ、皆さんもサイバー犯罪の手口や対策を理解し、知識武装することが非常に重要なのです。

まとめ

  1. ソーシャルエンジニアリングとは、コンピュータを使わずに人の心のスキを狙うサイバー攻撃のこと。
  2. ソーシャルエンジニアリングの手口としては、電話で機密情報を聞き出す、ショルダーハッキングやトラッシングなどがある。
  3. ソーシャルエンジニアリングにより情報が漏洩する原因のほとんどが、重要情報を預かる人のセキュリティ意識の低さとなっていることからも、知識武装しておくことが重要である。