ソーシャル・エンジニアリング

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスを利用して、機密情報を不正に入手する犯罪手法です。これは、コンピュータウイルスやスパイウェアなどの技術的な攻撃とは異なり、人の心の脆弱性を突く点が特徴です。このため、高度なIT知識を持たない人でも、容易に被害に遭う可能性があります。

ソーシャルエンジニアリングの目的

当初、ソーシャルエンジニアリングは、コンピュータシステムへの不正アクセスを目的としていました。具体的には、パスワードを盗み出し、システムに侵入する行為です。この目的で使用される場合は、「ソーシャルハッキング」や「ソーシャルクラッキング」とも呼ばれます。

しかし、近年では、クレジットカードやキャッシュカードの暗証番号を盗み出し、不正に現金を引き出す手口や、個人情報を詐取し、さらに悪用するケースも増えています。これらの手口は、単にコンピュータシステムへの不正アクセスだけでなく、金銭的な被害やプライバシーの侵害に繋がることが問題視されています。

ソーシャルエンジニアリングの主な手口

ソーシャルエンジニアリングの手口は多岐にわたりますが、代表的なものとしては以下が挙げられます。

身分詐称:
重役や上司、重要顧客、システム管理者などを装い、電話でパスワードや重要情報を聞き出す手口です。信頼できる人物になりすますことで、警戒心を解き、情報を引き出すことが目的です。
ショルダーサーフィン:
ATMなどで端末を操作する人の背後に立ち、パスワード入力時のキーボードや画面を覗き見て、暗記する手口です。人通りの多い場所では特に注意が必要です。
覗き見:
IDやパスワードが書かれた紙や付箋を瞬間的に見て暗記し、メモする手口です。ディスプレイ周辺やデスクマットに貼られていることが多いです。
偽情報:
特定のパスワードに変更することで特典が受けられるなどの偽情報を流し、パスワードを変更させる手口です。巧妙な言葉で人を騙し、パスワードを不正入手します。
カード詐欺:
クレジットカードやキャッシュカードの暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口です。警察や信販会社などを名乗り、巧みに暗証番号を聞き出します。

個人情報を聞き出す手口

ソーシャルエンジニアリングは、個人情報を聞き出すためにも悪用されます。具体的な手口は以下の通りです。

偽装:
学校の同級生の親族や警察を名乗り、本人や他の同級生の住所や電話番号を聞き出す手口です。
宅配便を名乗り、住所が分からないという口実で正確な住所を聞き出す手口です。
興信所を名乗り、本人に縁談があるという口実で素行などを聞き出す手口です。
警察や公安委員会、裁判所などを名乗り、住所や電話番号、家族構成、勤務先、通学先などを聞き出す手口です。

ソーシャルエンジニアリングへの対策

ソーシャルエンジニアリングは、技術的な対策だけでなく、人の意識を高めることが重要です。以下のような対策を講じることで、被害を最小限に抑えることができます。

不審な電話やメールに注意する:
身分を偽った電話やメールには、個人情報を安易に教えないようにしましょう。特に、パスワードや暗証番号を聞き出すような連絡には警戒が必要です。
パスワードの管理を徹底する:
パスワードは、複雑で推測されにくいものを使用し、定期的に変更しましょう。
IDやパスワードを記載したメモを、人目につく場所に貼らないようにしましょう。
ATM利用時の注意:
ATMを利用する際は、背後や周囲に不審者がいないか確認し、覗き見されないように注意しましょう。可能であれば、覗き見防止フィルターを使用すると効果的です。
個人情報の取り扱い:
個人情報を安易に他人に教えないようにしましょう。特に、電話やメールでの個人情報の要求には十分注意が必要です。
セキュリティ意識の向上:
日頃からセキュリティに関する情報を収集し、手口を知っておくことで、被害に遭うリスクを減らすことができます。

ソーシャルエンジニアリングは、人の心理的な弱点を突くため、完全に防ぐことは難しいかもしれません。しかし、これらの対策を講じることで、被害に遭うリスクを大幅に減らすことができます。常に警戒心を高く持ち、安全な情報管理を心がけましょう。

ソーシャル・エンジニアリング