「ソーシャルエンジニアリング」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。
これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは「ソーシャルエンジニアリング」です。

●ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、技術的な手法ではなく、人の心理的な隙や行動のミスにつけ込み、IDやパスワードなどの重要な機密情報を盗み出したり、不正な操作をさせたりする詐欺的・心理的操作的な攻撃手法です。

●ソーシャルエンジニアリングの手口

ソーシャルエンジニアリングには以下の手口があります。

1. なりすまし
IT担当者や上司、取引先などを装って電話やメールで情報を聞き出す（フィッシング、ビッシング（電話を利用）など）。

2. 盗み見（ショルダーハッキング）
パスワード入力画面をのぞき見する。

3. ゴミ箱漁り（トラッシング）
捨てられた書類から機密情報を回収する。

4. 無意識の操作誘導
偽のウェブサイトに誘導し、ID・パスワードを入力させる。

●ソーシャルエンジニアリングが増える？

ソーシャルエンジニアリングは、ITシステムから見ると正規のユーザの操作に見えます。

・なりすましされた操作

・正規のユーザ操作を背中越しに盗み見

・正規のユーザが印刷した書類をゴミ箱漁り

・フィッシングメール等で偽のログイン用ウェブサイトに誘導し正規のユーザのID・パスワードを盗む。

そのため、ソーシャルエンジニアリングは技術的な防御が難しく、標的型攻撃などで利用されます。
近年は様々な情報セキュリティ対策システムの導入が行われているため、ソーシャルエンジニアリングが増える事は十分に考えられます。引き続き注意をしていきましょう。