クラウド活用のための情報セキュリティサイト

ソーシャルエンジニアリングとは?社内に周知しておきたい、具体的な手法や攻撃の回避方法

企業が情報セキュリティを考える上で、対策しなければならないことはインターネットに接続されているオンラインだけではありません。今回は、ソーシャルエンジニアリングと呼ばれるオフラインで気をつけるべき情報セキュリティの問題について解説していきます。

オンライン・クラウドストレージ「DirectCloud」へ
パスワード管理の次はファイル管理も見直しませんか?
  • オフラインでのパスワード漏洩対策と併せて、ファイルセキュリティも見直しを行えば、セキュリティはさらに強固に。法人向けクラウドストレージ「DirectCloud」なら、厳格かつ柔軟なアクセス権の管理をはじめ、各種機能で情報漏洩をしっかりと防ぎます。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、インターネットなどのオンラインの情報通信技術を利用せずに、ネットワークなどに侵入する際に必要となるパスワード情報などの重要な機密情報を盗み出す手法のことを指します。

ソーシャルエンジニアリングにはさまざまな方法があり、その多くが人間の心理につけ込んだり、行動のミスの裏をかいたりするものです。今回はその具体的な手法と、攻撃を回避するための方法をお伝えしてまいります。

ソーシャルエンジニアリングの具体的な手法

ソーシャルエンジニアリングで代表される具体的な手法は以下の通りです。

ショルダーハッキング

ショルダーハッキングとは、他人がパソコンやスマートフォンなどのデバイスにパスワードや暗証番号などのログインに必要な機密情報などを入力しているところを、後ろから盗み見る手法のことを意味しています。ショルダーサーフィンなどと呼ばれることもあります。実際、情報漏洩の事例の多くがショルダーハックであり、被害総額が最も多いソーシャルエンジニアリングの手法であるとも言われています。

電話やメールでパスワードを聞き出す

電話やメールなどを用いて、パスワードを聞き出す手法もソーシャルエンジニアリングの代表例です。「重要な機密情報であるパスワードなどをそのような方法で漏洩するものだろうか?」と疑問を感じる方もいるかもしれませんが、「至急確認ください」「重要なご連絡です」「漏洩したリスクがあるため確認が必要です」など、巧みな言い回しで緊急度を演出してくるため、引っかかってしまう方が多い手法でもあります。

トラッシング

トラッシングとは、企業や個人が廃棄したゴミを漁って、機密情報の書かれている書類を盗み取る手法です。個人情報などが書かれている書類などはシュレッダーにかけることで漏洩をある程度防ぐことはできます。しかしながら、最近ではポストに入っている郵便物をそのまま持ち去るトラッシングの手法もあり、郵便物に記載されている情報をもとにサポートセンターに攻撃者が連絡をしてパスワードやIDを抜き取るケースなども確認されています。

ソーシャルエンジニアリングの攻撃を回避する対策方法

ソーシャルエンジニアリングの攻撃を受けた場合、冷静に回避するための対策方法は以下の通りです。

情報の発信元が正しいか、信頼性を確認する

電話やメールでソーシャルエンジニアリングが疑われる場合、まずは情報の発信元である電話番号やメールアドレスを検索するなどして、信頼性を確認しましょう。最近では、不正目的で利用されている電話番号などはインターネット上に危険性を伝える口コミが掲載されている場合があります。また、怪しいハイパーリンクはクリックせずにカーソルを上に合わせるだけでもURLの詳細をチェックできるため、おかしな文字列などが含まれているものではないか確認すると良いでしょう。

公式に表示されている情報で事実を確認する

ソーシャルエンジニアリングでは、大手企業の緊急連絡担当などになりすますケースもあるので、緊急度の高いパスワード確認の連絡である場合などは、公式ウェブサイトに掲載されている最新情報を確認するなどして、その情報が事実であるかどうかを確認するようにしましょう。本当にサービスなどに何らかの障害や不具合が発生している際には、インターネット上に公式な情報として掲載されているケースがほとんどです。

相手にIDの提示を要求する

パスワードなどの情報の開示を要求してくる相手に、直接、ID(身分証など)の提示を求めることも有効です。その相手が信頼できる存在であれば、相応のIDを提示することができるはずです。また、電話をかけてきたり、メールを送ってきたりした相手に「誰からの指示なのか」を尋ねるのも有効だと言えます。指示者の存在が曖昧である場合には、ソーシャルエンジニアリングの手口である可能性を疑い、信頼できるIDが提示されるまでは指示に従わないように心がけるべきです。

ソーシャルエンジニアリングの被害を軽減するためにできること

ソーシャルエンジニアリングの被害を軽減するために、事前にできることは以下の通りです。

デバイスを操作する際に背後を取られないようにする

パソコンやスマートフォンなどのデバイスを操作する際には、背後を取られないように位置選びに注意するようにしましょう。また、離席する時はパソコンのスクリーンセーバーを設定、スマホにはロック画面を設定し、第三者が情報を盗み取る隙を与えないようにしてください。

デバイスにプライバシーフィルタを貼る

デバイスに覗き見防止のプライバシーフィルタを貼ることで、背後や左右などの死角から情報を盗み見られるリスクを軽減することができます。プライバシーフィルタは比較的安い金額で量販店などで購入できるため、手軽に導入できるソーシャルエンジニアリング対策として検討してください。

万が一に備えて2段階認証を設定しておく

万が一、パスワードやID情報を盗み取られたとしても、2段階認証を設定しておけば、本人の承認がなければ他のデバイスからログインされるリスクを防ぐことができます。大手の検索エンジンやSNSは全て2段階認証を採用しているので、必ず設定しましょう。

デジタルフットプリントを見直す

SNSなどのネット公開されているアカウントに記載されている個人情報をデジタルフットプリントと呼びます。これらの情報をもとに、パスワードなどの機密情報を盗み取るヒントにされることもあるため、個人情報を過剰に開示していないか、不正に利用されてしまう可能性のある情報をSNS上で発信していないかを事前にチェックしておくことも重要です。

ソーシャルエンジニアリング

ソーシャルエンジニアリングにはさまざまな方法があり、それらで被害を出さないために対策が必要である旨はご理解いただけたかと思います。企業が情報セキュリティを考える上で、オンラインだけでなく、オフラインでも対策を進めていくことが重要であることは、担当者の方々は是非とも基礎知識として知っておきましょう。

オンライン・クラウドストレージ「DirectCloud」へ
パスワード管理の次はファイル管理も見直しませんか?
  • オフラインでのパスワード漏洩対策と併せて、ファイルセキュリティも見直しを行えば、セキュリティはさらに強固に。法人向けクラウドストレージ「DirectCloud」なら、厳格かつ柔軟なアクセス権の管理をはじめ、各種機能で情報漏洩をしっかりと防ぎます。