使える! 情シス三段用語辞典46
「ソーシャルエンジニアリング」


常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。ジョーシスでは数々のIT用語を三段階で説明します。


一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明


取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け 「ソーシャルエンジニアリング」の意味

ネットワークに不正侵入するために、IT技術を使わずパスワードを盗み出そうとする技術のことをいう。元来の意味は「社会工学」だが、人間の心理的なすきや、行動のミスなどを利用してパスワードを盗む技術のことを指すことが多い。


「電話で利用者からパスワードを聞き出す」「重要なパスワード情報を肩越しにのぞき見る(ショルダーハッキング)」「ゴミ箱から機密情報、特にパスワードのヒントをあさる(トラッキング)」などが代表的な手口になる。最近では、標的型攻撃メールで特定の組織を狙うために、業務メールを装う手口が使われることが多いが、これもソーシャルエンジニアリングの手口の1つといえる。

二段目 ITが苦手な経営者向け

社長の会社では、セキュリティを強化しているそうですね。そのために、最新のセキュリティサービスを導入しているとか。それはとても大事なことです。


しかし、不正アクセスは「人間の行動そのもの」が原因になっていることが実は多いということをご存じでしたか?


例えば、悪い連中は社長の会社のパソコンからパスワードを盗みだそうとします。それをIT技術ではなくて、人の心理のスキを突いたり、行動のミスを突いたりして盗み出すような手口を使うのです。


この手口を「ソーシャルエンジニアリング」といいます。


ソーシャルエンジニアリングの単純な手法としては、社長や重要な取引先になりすまして、電話で社員からパスワードを聞き出す手口があります。ほかにも社長の会社の社員がカフェでパソコンを使っている時に後ろからのぞき見る、会社のゴミ箱をあさって、パスワードや、そのヒントにつながるものを盗み出すなどの手口があるのです。


どれも原始的でアナログな方法ですよね。しかし、これでパスワードが漏れてしまったら、後は悪い連中のやりたい放題です。


ソーシャルエンジニアリングは、原始的ですが破壊力があります。最近、問題になっている「標的型攻撃メール」も、これに近い手口です。だからこそ、社員にこういう手口があることを周知して、セキュリティ教育を行うことが大事です。もちろん社長自身も気を付けてください。

三段目 小学生向け

みなさんは家の鍵を持っていますか?


スマートフォン(スマホ)やタブレット、パソコンなどを使う時にも家の鍵と同じようなものが必要になります。これを「パスワード」といいます。


このパスワードが悪い人に知られてしまうと、勝手にスマートフォンやタブレット、パソコンなどからデータが盗み出されたり、銀行からお金を勝手に引き出されたりなどして、大変なことになります。


そうならないために、お父さんやお母さんは、最新の防犯ソフトを入れたりしてパスワードを盗まれないように気をつけて生活しているはずです。


ただ、悪い人が盗み出す方法は、コンピューター技術などを使った手口ではなく、人間の「うかつなミス」を利用した手口が実は多いのです。


この手口を「ソーシャルエンジニアリング」といいます。


例えば、お父さんがパスワードを書いた紙を捨てます。それをゴミ箱から拾って悪用するという手口があります。これでは、どんなに最新の防犯ソフトを使っても、簡単にわかってしまいますよね。


また、お父さんの会社の人になりすまし電話を家にかけてきて「お父さんの机の上に貼ってあるパスワードを教えて」なんて言ってくる悪い人もいます。さらに、パソコンを操作している後ろや横からパスワードをのぞき込む手口もあるのです。


でも、どの方法もちょっと気を付ければ防げます。だから、最新の防犯ソフトを使っていても、自分がうっかりパスワードを漏らしてしまうような行動をしていないかに気を付けなくてはいけないのです。

この記事は株式会社パシフィックネットが運営していたWebメディア「ジョーシス」に 掲載されていた記事を転載したものです。
2017年5月9日掲載