ソーシャルエンジニアリング(社会工学)
Social Engineering
人の心理的な隙やミスを突いて、パスワードなどの機密情報を盗み出す手法。
簡単に説明すると
ソーシャルエンジニアリングは、人間の心理的な隙やミスを利用して、大切な情報を聞き出したり盗んだりする攻撃手法のことだよ。 システム管理者になりすまして電話をかけ、パスワードを聞き出そうとする行為がこれにあたるんだ。 また、ゴミ箱に捨てられた書類から機密情報を探したり、パソコンの画面をのぞき見たりするのも、この手法の1つとして知られているよ。 コンピュータを直接攻撃するのではなく、人間をターゲットにする点が大きな特徴なんだ。
名前のヒミツ
Social Engineering(そーしゃるえんじにありんぐ)は、Social(ソーシャル)が「社会的な」、Engineering(エンジニアリング)が「工学や技術」という意味を持つ言葉だよ。 コンピュータの技術を悪用するのではなく、人間関係や日常のやり取りを「技術」として使い、情報をだまし取ることからこう呼ばれているんだ。 人の心の隙やミスをハックする手法という由来があるよ。
くわしく見てみよう!
ソーシャルエンジニアリングとは、コンピュータの技術的な欠陥を突くのではなく、人間の心理的な不注意を利用して情報を盗み出す手法のことだよ。
ネットワークの防御がどれほど強くなっても、人間がだまされてしまえば簡単に情報が漏れてしまうため、セキュリティ上の大きな脅威となっているんだ。
具体的には、会社の役職者や技術担当者のふりをして電話をかけ、言葉巧みにパスワードを聞き出す「なりすまし」がよく知られているよ。
キーボードを打つ指の動きを後ろから盗み見る行為や、ゴミ箱から書類を拾って情報を集める行為など、デジタルではないアナログな方法も多いんだ。
ざっくり言うと、パスワードを忘れたふりをして同情を誘ったり、緊急事態を装って相手を急かしたりして、冷静な判断を奪うのがこの手法の狙いだよ。
偽のメールで本物そっくりのサイトに誘導するフィッシング詐欺も、この心理的な仕組みを悪用した例の1つと言えるんだ。
特別な知識がなくても実行できてしまうため、1人ひとりが対策意識を持つことが重要になるよ。