- ビジネスに関する時事情報
- デジタル化・IT化によるビジネスの自動化・効率化
- ホームページ作成
- ビジネス効率化に有効な情報機器の紹介
- デジタルマーケティング
- ロボット・IoT・AI (人工知能)・その他
【運営元】株式会社ダークマター
【その他】プライバシーポリシー
ソーシャルエンジニアリング(Social Engineering) とは、技術的なハッキング手法ではなく、人間の心理や行動の隙を突いて機密情報を盗み出す手法のことです。例えば、パスワードや個人情報を聞き出したり、企業の内部情報を不正に入手したりする目的で行われます。
ソーシャルエンジニアリングには様々な手法がありますが、代表的なものを紹介します。
偽のメールやWebサイトを使って、ユーザーに偽のログインページにアクセスさせ、IDやパスワードを入力させる手法。
例: 「あなたのアカウントがロックされました。今すぐログインしてください」と偽の銀行サイトへ誘導。
メモ: Phishingは魚釣りFishingと洗練Sophistecatedを組み合わせた造語
特定のターゲットを狙ったフィッシング攻撃。組織の上司や取引先を装って機密情報を取得する。
メモ: スピアSpearは槍のこと。槍を突き刺すように相手に狙いを定めて攻撃する
嘘の理由(プレテキスト)を使って、相手に情報を提供させる手法。
メモ: Pretextは「口実」
例: 「IT部門の者ですが、セキュリティ強化のためにパスワードを確認させてください」
ターゲットの好奇心を利用して、ウイルス感染したUSBやファイルを開かせる手法。
メモ: Baitingは「餌付け」
例: 「重要な給与情報」と書かれたUSBメモリをオフィスに放置する。
許可されていない人間が、他人の後をついてオフィスや制限区域に侵入する手法。
例: 「ドアを開けてくれませんか?」と従業員に頼んで、不正に入る。
人のパスワード入力などを後ろから盗み見る手法。
例: カフェや電車で、隣の人がパスワードを入力しているのを盗み見る。
ソーシャルエンジニアリングは技術的な防御だけでは防げないため、人間側の対策が重要です。
公式な問い合わせかどうかを必ず確認する。
不審な電話やメールに注意する。
差出人のメールアドレスを確認する。
短縮URLや不審なリンクはクリックしない。
使い回しを避ける。
2要素認証(2FA)を導入する。
落ちていたUSBをPCに挿さない。
信頼できるソースからのみソフトウェアをインストールする。
見知らぬ人をオフィスに入れない。
PCを離れる際はログアウトする。
定期的なセキュリティ研修を受ける。
シミュレーションを行い、攻撃に対する耐性を強化する。
ソーシャルエンジニアリングは、技術的なハッキングよりも人間の心理や行動を狙った攻撃であり、多くの企業や個人が被害に遭っています。技術的な対策だけでなく、日頃から警戒心を持ち、適切なセキュリティ対策を実施することが重要です。
👇このページのQRコード
【運営元】株式会社ダークマター
【その他】プライバシーポリシー