ポイント

●ソーシャル・エンジニアリングは,詐欺の手口(または非技術的な手口)で不正に情報を収集する手法の総称である
●フィッシングは,ソーシャル・エンジニアリングにネットワーク技術やコンピュータ技術を組み合わせてターゲット・ユーザー(利用者)を攻撃者が用意したサイトに誘導して不正に情報を収集する手法である
●フィッシング対策としては,メールに書かれているURLを気軽にクリックしないようにする。リンク先にアクセスする必要があるときは,自分で登録したブックマーク(お気に入り)からアクセスするのが良い。ただし,これらの対策では防ぎきれない場合もある

 第4章に入って情報収集手法に関する話題が続いています。前回と前々回はネットワークやコンピュータ技術を利用する手法でした。今回は,詐欺的な情報収集手法であるソーシャル・エンジニアリングとフィッシングについて勉強します。

ソーシャル・エンジニアリングとは

 ソーシャル・エンジニアリングを直訳すると「社会工学」になりますが,セキュリティの世界では詐欺の手口で不正に情報を入手する手法を指します。

 攻撃者がターゲットの機密情報を入手する場合,「ネットワークやコンピュータを利用して,難しい技術を駆使しなければならない」という制約はありません。彼らは目的の情報が入手できれば,手段は何でもいいのです。どんなに優れたセキュリティ技術であっても,それを利用するのは人間ですし,管理するのも人間です。そこで攻撃者は,技術に頼らずに,人間の心理あるいは行動における盲点やミスを突いて,不正に機密情報を入手することを考えます。「詐欺の手口を応用して不正に情報を入手」とすると考えればよいでしょう。これらの手口を総称して,ソーシャル・エンジニアリングと呼びます。

 それでは,ソーシャル・エンジニアリングの手口をいくつか確認していきましょう。

事例1:オフィス・ビルの清掃員となり,合法的に制限区画内に侵入して廃棄書類(ごみ)の中から情報を入手する

 ごみの中から情報をあさる手法は「トラッシング(Trashing)」あるいは「スキャベジング(Scavenging)」と呼ばれます。ごみに対する危機意識の低さを狙った方法です。

事例2:ユーザー名とパスワードを入力しているところを,後ろから覗き見して情報を得る

 ディスプレイに向かっているときに,周りに注意が行きにくいことを利用した手法です。あまりにも単純な手口ですが,成功すれば労せずにパスワードを入手することができます。この手法は「ショルダーハッキング」と呼ばれます。

事例3:電話などで(他部署の)上司になりすまして「すまないが,○○へのアクセス・パスワードを忘れてしまった。今すぐ必要なので教えてほしい」などと威圧的に接することでパスワードを入手する

 一般的な会社組織において,「部下は上司の命令を遂行しようとする意識を持っている」という点を利用した手法です。もちろん,実際の自分の上司は顔も声もわかっていますから,電話を利用して顔が見えない状況を作り,しかも本人確認がすぐにできないような他部署の上司になりすますことで成功率を高めます。

 いかがでしょうか。いずれも,手法としては単純です。ほとんどの方が「そんなやり方では,ひっかからないよ」と思ったかもしれません。しかし,この連載の「情報セキュリティ事故の要件と,効果的な対策」の回で勉強したように,人間の行動にはミスがつきものです。自分では「大丈夫」と思っていることが,実はセキュリティ的に問題がある行動だったりすることもあります。ソーシャル・エンジニアリングとは,そのスキを狙った攻撃なのです。

ソーシャル・エンジニアリングに対する対策

 ソーシャル・エンジニアリングに対しては,「ヒューマンエラーに対する対策」=「教育,訓練,マニュアル整備」を適切に実施することが大切です。

 ここまでに出てきた3つの事例で,それぞれの対応策を考えてみましょう。まずは,事例1のトラッシングに対する対策です。個人情報保護法の制定などをきっかけに,機密情報を廃棄する際にはシュレッダーをかけることなどの運用ルールが浸透してきました。このように書類やメディアの廃棄方法をルール化して運用を徹底することが,トラッシングへの対策となります。

 事例2のショルダーハッキングに対する対策としては,パスワードを入力する場面では,周りに気を配るように意識づける教育を行い,それを習慣づけることが対策となります。

 事例3のような電話でパスワードを聞き出す行為に対する対策は,社内の誰であってもパスワードの再発行手続きはルールに従う運用にしておくことです。 このとき,単に手続き手順をルール化するだけでなく,管理職(上司となるメンバー)にも「パスワードを再発行する際には例外はない(どんな場合でもルールに従わなければならない)」ということを認識しておいてもらうことがポイントになります。