.net column

.NET開発者のためのブログメディア

ソーシャルエンジニアリングとは?対策の方法について7つ紹介!

2020年05月18日

SE
ソーシャルエンジニアリングとは何ですか?

PM
ネットワークに入るためのパスワードなどの機密情報を、情報通信技術を駆使せずに盗み出してしまう方法のことを指します。

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングという言葉を耳にしたことがあるという方は、多いのではないでしょうか。しかし、何かの専門性があるエンジニアの名称という誤解があるかもしれません。実はネットワークに入るためのパスワードなどの機密情報を、情報通信技術を駆使せずに盗み出してしまう方法のことを指します。人の心理的な隙や、行動につけ込んだ卑劣なものが多いでしょう。今回は、ソーシャルエンジニアリングのさまざまな方法や対策についてご紹介します。

ソーシャルエンジニアリングの対策|総務省

ソーシャルエンジニアリングのもたらす実害

ソーシャルネットワークは、実際にどのような例があるのかを見れば、理解することは可能です。例えば、とある総合病院に対して、何者かがソーシャルエンジニアリングを仕掛けた事例があります。その際には、研修医の氏名や携帯電話番号などの、個人情報が漏洩してしまいました。そのため、病院側が関係者などに対して、謝罪の意を示したそうです。ソーシャルネットワークは、管理者側にも大きなダメージを与えかねません。

ソーシャルエンジニアリングの主な方法5つ

世の中に対して、迷惑な行為をしているソーシャルエンジニアリングには、具体的にどのような手法があるのでしょうか。ここでは、ソーシャルエンジニアリングの主な方法についてご紹介します。自分は絶対に引っかからないと思い込んでいる人ほど、実際に当事者になってしまうこともありえるかもしれません。

方法1:なりすまし電話・メール

電話による迷惑行為は、ご存知の人も多いのではないでしょうか。特に、お年寄りなどを中心に、その息子や娘になりすまして金銭などを盗むという手口は有名でしょう。他にも、公的機関を装い、IDやパスワードなどに関する問い合わせをする場合もあります。なりすましは、電話だけではなくメールでも頻繁に行われています。対策としては、折り返し連絡などで本人確認をすることや、本人として特定できない電話などの問い合わせには、絶対に応じないことが大切でしょう。

方法2:フィッシング詐欺

フィッシング詐欺は、相手を騙してパスワードやクレジットカード情報、社会保障番号、銀行口座番号といった、個人情報を入手するための不正手段です。サイバー詐欺師と呼ばれる人たちに用いられる手法といわれています。偽メールを送信し、偽のウェブサイトへ誘導をするのが主な方法ではないでしょうか。その際には、合法的な組織の名をかたり、あたかも公式サイトが送信したように見せかけて、サイトに誘導するやり方が多いでしょう。

方法3:ショルダーハッキング

ショルダーハッキングとは、盗み見する行為のことです。肩越しに覗く動作に例えて、ショルダー(shoulder=肩)ハッキングと称し、誰かがパスワードなどの重要な情報を入力している現場を、さりげなく覗き見てしまう方法です。例えば、職場などで安全かと思われていた場所でも、特定の人物がパスワードを覗いて、知ってしまうということも考えられるでしょう。

方法4:トラッシング

トラッシング(Trashing)は、ゴミとして廃棄するつもりのものから、情報を探しあてて取得する方法です。スカベンジングとも呼ばれています。例えば、職場にて顧客リストを印刷しているとき、失敗した用紙を捨てたとします。しかし、ごみ箱にそのまま破棄すると、いつ誰がその情報を入手するかわかりません。社外秘の内容を普通のゴミとして捨てる前に、第三者が判別できないよう工夫する必要があります。

方法5:バイティング

バイティング とは、そのまま訳すと「かみつく」という意味です。ソーシャルエンジニアリングでは、ネット上にて悪質なファイルなどを、ダウンロードさせるための方法を指します。例えば、無料ダウンロードでプレゼントという商材を販売する方法がありますが、出所がよく分からないサイトからは、ダウンロードしないことがポイントでしょう。

ソーシャルエンジニアリング対策7つ

さまざまな危険性があるソーシャルエンジニアリングは、どのような方法で回避すればいいのでしょうか。ここでは、ソーシャルエンジニアリングについての、効果的な対策についてご紹介します。普段から意識して、自分の身を守るように心がけてください。

対策1:メディアリテラシーを高めておく

メディアリテラシーとは、各種メディアを取り扱う際の、社会的な倫理観のことを指します。テレビや雑誌などのマスメディアはもちろん、インターネット上でのSNSなどを閲覧する場合の、情報の見極め方を学び続ける姿勢が大切でしょう。例えば、好みの著名人や知人が発信する情報を、鵜呑みにしやすい傾向があります。それが情報として間違っていたとしても、信じ込んでしまい、気軽に拡散してしまうのではないでしょうか。情報を扱う際には、出所の信ぴょう性を判断するように、心がけましょう。

対策2:個人情報などはむやみに口にしない

口座番号や、クレジットカード番号について、もし電話やメールで問い合わせがきても、安易には伝えないようにしましょう。他にも、オンラインショッピングサイトやSNSでも同じです。基本的に、銀行やカード会社、関連運営会社などから、いきなり電話やメールで機密情報を問い合わせがくることはあり得ません。もし情報の問い合わせが入ったら、ニセモノと判断するのがベターです。また、警察や弁護士を名乗るケースもあるため、注意しましょう。

対策3:シュレッダーを活用する

オフィスのゴミから機密情報を盗み出すトラッシングは、家庭ゴミよりも狙われやすいという特徴があります。なぜなら、オフィスのゴミは、比較的に生ゴミが少なく容易だからでしょう。また、機密情報が狙われやい場所とされています。漏洩すると困る情報書類やメモ類の処理は、シュレッダーを活用し細かく粉砕して、捨てるようにしましょう。

対策4:URLは調べてからクリックする

ソーシャルエンジニアリングの中で、注意したいのはフィッシング詐欺です。機密情報漏洩で金銭的被害につながる可能性が高いからです。危機意識を高く持っておく必要があるでしょう。また、フィッシング詐欺の場合、本物のサイトのURLに似たように文字列を使っているケースが多く見受けられます。見覚えがあったとしても、そこに記載されたURLを安易に開かないようにしましょう。まずは検索して、確認をしておくことがポイントです。

対策5:SNSに特定できるものを書かない

ハッカーなどの、悪用を目的とした人間は、ターゲットにする事物を特定するために、SNSの投稿などを監視し、その行動の傾向や趣味嗜好といった詳細な個人情報を、研究している可能性があります。また、偽装アカウントで接触して、相手を信用させたうえで情報を盗んだり、場合によっては自宅を選定し、空き巣やストーキングをしたりするなど狡猾な手口まで使うことがあります。ソーシャルエンジニアリング対策としては、SNS上に個人や家族を特定できるような情報を載せないことが大切でしょう。

対策6:ソフトウェアなどを新しい状態にする

パソコンやスマートフォンなどは、入力した情報を内部のソフトウェアが処理しながら稼働します。しかし、コンピュータのソフトウェアや、Webブラウザ、メールの送受信に使うメールソフトなどは、時間の経過によって脆弱性という不具合が生じる可能性があります。その修正のためのプログラムは、各メーカーから配布されますが、ソーシャルエンジニアリング対策としては、プログラムを新しい状態に保つことが大切でしょう。

対策7:ログイン情報やパスワードなどの取り扱いをルール化する

ソーシャルエンジニアリング対策として、ログイン情報やパスワードについて、独自の管理方法を確立しましょう。不正アクセスの可能性があるパスワードなどは見直し、自分だけのルールを作っておくことで、さまざまなやり口で迫ってくるソーシャルエンジニアリングを、防止することも可能です。例えば、重要なパスワードは公言しないといったルールを徹底しておくことで、よりソーシャルエンジニアリング対策の意識も高まるのではないでしょうか。

ソーシャルエンジニアリングは人間の隙を直接的に狙う

ソーシャルエンジニアリングは、主にインターネット上で、アクセスするためのパスワードやログイン情報などを、盗み取ってしまう違法行為です。これらは、当人の小さな行動のミスや、隙ができたときなどに、狙われやすくなるのではないでしょうか。先述したように、ソーシャルエンジニアリングにはいくつかのパターンがあります。それらの事例などをよく確認して、対策をしておくようにしましょう。

SE
自分たちのちょっとしたミスで機密情報が盗まれてしまうのですね。

PM
そうですね。メディアリテラシーを高めるなどして危機意識を高める必要があります。

ソーシャルエンジニアリングの理解を深めてしっかり対策しよう

ソーシャルエンジニアリング対策というのは、何か特別に難しいことを設定する必要はありません。ただし普段からこまめにチェックをして、少しでも不可解なサイトやURLなどには、クリックしないという基本を守ることが大切です。また、よりよい対策方法は、落ち着いて冷静に対応することではないでしょうか。今回の内容を参考にしながら、ソーシャルエンジニアリングの詐欺から身を守れるように、心がけましょう。


.NET分野でのキャリアアップをお考えの方は、現在募集中の求人情報をご覧ください。

求人一覧

また、直接のエントリーも受け付けております。

エントリー(応募フォーム)