ソーシャルエンジニアリングとは?巧妙な手口と正しい情報漏えい対策6選
- セキュリティ対策として、サイバー攻撃以外にも「ソーシャルエンジニアリング」にも気をつけるべきだと聞きました。
しかし、ソーシャルエンジニアリングとはどのよういった行為なのでしょうか?
- ソーシャルエンジニアリングとは、不正にネットワークへ侵入するための情報をインターネットを使うことなく、人間の隙につけ込んで入手する手法です。
例えば社員が捨てたメモ書きから情報が盗まれるなど、身近なところで発生することが大きな特徴になります。
- ソーシャルエンジニアリングってなに?
- 日常のどのような場面で、ソーシャルエンジニアリングのリスクがある?
- ソーシャルエンジニアリングを防ぐための具体的な対策は?
・・・このような疑問や不安をお持ちの方は必見です!
今回は「ソーシャルエンジニアリング」とは何か、具体的な手口から対策まで徹底解説します。
思いもよらないことによる情報漏えいが重大な事故に繋がる恐れがあるため、ここで適切な対策を把握して、日頃からセキュリティ意識を高めましょう。
ソーシャルエンジニアリングとはなにか?基本情報を解説
「ソーシャルエンジニアリング」とは、ネットワークに侵入するための個人情報をインターネットなどの通信技術を使わずに盗み出す手法です。
マルウェアなどの悪質なサイバー攻撃と違い、普段の何気ない行動や人間のわずかな心理の隙を狙います。
厄介なことに、ソーシャルエンジニアリングの手口は年々巧妙化しています。
しかし、ソーシャルエンジニアリングはサイバー攻撃のようなログや足跡が残りません。
つまりたとえソーシャルエンジニアリングによる情報漏洩が起きても、いつどこで情報が盗まれたのかという特定はほぼ不可能というわけです。
- 人間の行動の隙が狙われるため、社員一人ひとりがセキュリティ意識を常に持った上で、組織的な対策が必要になります。
ソーシャルエンジニアリングの代表的な手口や種類とは
ソーシャルエンジニアリングの特徴が理解できたところで、具体的にどのような手口で行われているのでしょうか。
ここでは、ソーシャルエンジニアリングの代表的な手口・種類を解説します。
- 1.フィッシングで情報を盗む
- 2.電話でパスワードなどを聞き出す
- 3.覗き見して情報を盗み見する(ショルダーハッキング)
- 4.ゴミ箱を漁って情報を抜き出す(トラッシング)
- 5.業者になりすまして盗む(プリテキスティング)
手口①フィッシングで情報を盗む
フィッシングとは、スパムメールなどからユーザーを偽サイトへ誘導し、個人情報を盗む手法。
金融機関を装って、実際のサイトと酷似した偽サイトから銀行の口座番号・クレジットカード番号・パスワードを抜き出すといった手口が有名です。
フィッシングの中には、「スピアフィッシング」という手法もあります。
企業内の特定の社員1名を標的とし、上司や管理職の社員を装って機密情報を聞き出すようなメールを送りつける手法です。
また、フィッシングと類似した手法に「ファーミング」があります。
ファーミングは、DNSの設定を不正に改ざんして不正なサイトへ強制的に遷移させる手法。
URLの表記は正規であるため、メールに記載されていても見極めが非常に困難です。
DNSとは?
DNS(Domain Name System)は、TCP/IPのアプリケーション層で使われるプロトコル(標準的に使われているプロトコル)の一つ。
インターネット上のホスト名や電子メールのアドレスに使われる「ドメイン名」と、「IPアドレス」との対応づけを管理するために使用されるシステム。
手口②電話でパスワードなどを聞き出す
標的のユーザー名などを入手して、サービス利用者本人を装い、電話で管理者にパスワードを聞き出す手法があります。
これはソーシャルエンジニアリングの中でも、古くからある代表的な手口です。
サービス利用者を装うだけでなく、管理者側になりすまして利用者に直接情報を抜き出すケースも存在します。
古くから存在する手法ですが、完全な対策が存在しません。
よって社内での取り決めや、電話での情報入手を怪しむ社員の意識が大切になります。
手口③覗き見して情報を盗み見する(ショルダーハッキング)
「ショルダーハッキング」とは、個人情報を入力している時に本人の後ろから覗き込んで情報を盗み見する手法です。
オフィス内の社外の人が出入りがある場所や、最近ではフリーランスの方が作業するカフェやコワーキングスペースでも、ショルダーハッキングの危険性があります。
社内でも、個人情報を入力するときは周りに誰もいないか必ず確認する癖づけが大切です。
手口④ゴミ箱を漁って情報を抜き出す(トラッシング)
「トラッシング」とは、不正アクセスの対象となるネットワークに侵入するために、ゴミ箱に捨てられた資料を漁って盗み出す手口。
実は、ソーシャルエンジニアリングの中でもよく利用される手法です。
ネットワークに侵入するためのサーバ設定情報や、IPアドレス・パスワード関連の情報が記載された資料が代表的ですが、社員の付箋や古い名刺なども狙われます。
またトラッシングでは紙媒体だけでなく、廃棄物処理箱にあるハードディスクの記憶媒体を盗み、中に保存されている破棄が完了していないデータを盗むケースもあります。
手口⑤業者になりすまして盗む(プリテキスティング)
「プリテキスティング」は、専門業者になりすましてユーザーの情報を不正に盗み出す手法。
ソーシャルエンジニアリングの代表的な手口の一つで、業者になりすまして標的を不安にさせたり、関心を与えることで情報を盗みやすくします。
例えば、セキュリティ業者になりすましてハッキング被害があると伝え、不正にOSやソフトウェアのバージョンを聞き出す手口が代表的。
対策が難しい手口ですが、ケース別のマニュアルや具体的な事例の共有などが効果的です。
ソーシャルエンジニアリングから情報を守るセキュリティ対策を解説
ソーシャルエンジニアリングの手口を解説しましたが、どれも完全に対策することは困難。
では次に、ソーシャルエンジニアリングから情報を守るためのセキュリティ対策を解説します。
- 1.社員のセキュリティ教育を徹底する
- 2.重要な書類はシュレッダーで破棄する
- 3.不審なメールや添付ファイルは無視する
- 4.社内では社員証の携帯を義務化する
- 5.入退室の管理を徹底する
- 6.SNSで企業の名前などを書かない
複合的に取り入れることでより強力なセキュリティ対策ができるので、ぜひ一つひとつ理解していきましょう。
対策①社員のセキュリティ教育を徹底する
ソーシャルエンジニアリングのもっとも大切な対策は、社員一人ひとりがセキュリティ意識を持つように教育することです。
個人でできるセキュリティ対策はたくさんありますが、ここでは特に意識しておきたい対策を解説します。
◆離席時にはPCをロックする
離席時にはPCをロックすると、ショルダーハッキングを防止できます。
短い時間であっても、その隙につけ込んで情報が抜き出される危険がありますし、PCをスリープしただけでは効果がありません。
離席時にはPCをロックして、再開時には必ずパスワードを入力してロック解除しましょう。
◆離席・退勤時はデスクを片付ける
離席時にデスクを片付けることを「クリーンデスク」といい、企業セキュリティ対策の基本です。
ソーシャルエンジニアリングでは、デスクの上に放置されている書類を盗み見したり、そのまま持ち出されることもあります。
席を離れるときは、どのような書類であってもキャビネットや引き出しに収納しましょう。
◆引き出しやキャビネットは施錠する
社内で書類を収納している引き出しなどは、必ず施錠して離席・退勤しましょう。
デスク上に書類を置いておいたり、施錠されていない引き出しに書類をしまっておくと盗難のリスクがあります。
退勤時には、付箋などのちょっとしたメモ書きも含め書類全て施錠できる引き出しに収納してください。
対策②重要な書類はシュレッダーで破棄する
重要な書類を破棄するときは、必ずシュレッダーを使いましょう。
書類をそのままゴミ箱に捨てると「トラッシング」の標的となり、情報が盗まれる危険性があります。
また書類を破いて捨てるだけでは、簡単に復元されるので必ずシュレッダーで処理を。
さらに旧式のストレートカットタイプのシュレッダーでは、裁断された紙くずから復元された事例があるため、必ずマイクロカット方式の製品をお使いください。
対策③不審なメールや添付ファイルは無視する
不審なアドレスから来るメールや添付ファイルは無視し、開かないように気を付けましょう。
社員一人ひとりが不審なメールを開かないこと、普段から宛先や件名をチェックすることが大切。
違和感を感じたら、メールを開かずに管理部やシステム部などの専門部署に相談してください。
また社員の負担を減らすために、スパムメールを受信する前に検知できるソフトウェアの導入も効果的です。
対策④社内では社員証の携帯を義務化する
社内では社員証を首からかけるなど、常に社員証を携帯させておくことで外部と区別するといった対策も有効です。
特にアルバイト・パート・正社員が同じオフィスで勤務している場合は、社員証の色分けするなどの工夫が必要です。
対策⑤入退室の管理を徹底する
さらに、オフィス内の入退室管理は必ず残しましょう。
頻繁に来訪者がある場合は、入退室管理に加えて入室できる部屋を設定することも効果的です。
対策⑥SNSで企業の名前などを書かない
会社が管理しているSNSアカウント以外では、企業の名前などを書かないようにしましょう。
SNS上では、不特定多数のユーザーがいつどこで見ているか分かりません。
所属している企業の名前や自分の行動を公開する行為は、情報漏洩につながります。
所属している企業が明らかになると、ソーシャルエンジニアリングによって本人になりすまし、会社から情報を抜き出されるリスクが高まります。
また、取引先や所属する企業に関心がある業者になりすました相手とSNSのダイレクトメッセージでつながり情報漏えいした、という事例もあります。
- 相手から送られてきたURLをクリックしてアカウントが乗っ取られたり、内部情報が盗まれるのも代表的な手口。
SNSの管理や運用方針は必ず社員に教育し、徹底させるようにしましょう。
ソーシャルエンジニアリングのセキュリティ対策にお悩みなら、OFFICE110のご検討を!
ソーシャルエンジニアリングは、人間の「油断」や「隙」を狙って情報を盗み出す手口。
つまりどれだけ個人が意識していても、完璧に防ぐのは難しいというのが現状です。
そこでソーシャルエンジニアリングを含め、あらゆるサイバー攻撃を未然に防ぐためには「セキュリティ対策商品」の導入がおすすめです!
当社「OFFICE110」では、企業のセキュリティ診断から商品のご提案、導入、アフターサービスまでトータルでサポートしております。
では早速、OFFICE110が提供するおすすめのセキュリティ商品を2つ厳選してご紹介します。
中小企業に必要なセキュリティ機能がこれ1台に!「CYBER BOX PRO」
「CYBER BOX PRO」は、社内のデータを安全に保存・共有できる多機能、大容量のNAS。
さらにサイバー攻撃から守るセキュリティソフトを搭載していたりと、中小企業に必要なセキュリティ機能をパッケージ化した最高峰セキュリティシステムです。
セキュリティソフトを一つひとつ入れると高額になりますが、Cyber Box Proはあらゆる機能をパッケージ化しながら月額9,800円~と安価に抑え、導入のしやすさも実現しています。
データを安全に共有!法人向けセキュリティUSBメモリ「RUF3-HSシリーズ」
「RUF3-HSシリーズ」は、堅牢な強制暗号化機能を搭載したセキュリティUSBメモリです。
通常のUSBでは、ソーシャルエンジニアリングにより、破棄したはずの機密情報が入ったUSBメモリが盗まれてデータを読み取られる危険性があります。
しかしRUF3-HSシリーズなら、自動でデータの暗号化ができる上に、許可したデバイスのみ接続を許可するデバイス制御のソフトにも対応し、大切なデータを安全に管理・共有できます。
- 少しでも気になる方はOFFICE110へお問合せを。
また通常は10万円以上のセキュリティ診断を無料で実施しておりますので、何から対策を始めたら良いかお困りの方もぜひお気軽にご相談ください!
まとめ:ソーシャルエンジニアリングを理解して、セキュリティの強い環境を構築しよう!
今回はソーシャルエンジニアリングとは何か、その代表的な手口から具体的な対策まで徹底解説してきました。
ソーシャルエンジニアリングは、日常にある人間の隙を狙って情報を盗み出します。
そのためソーシャルエンジニアリングの対策には、企業の全体的なセキュリティ管理だけでなく、社員一人ひとりのセキュリティ意識が欠かせません。
どれも今日から行える対策なので、少し意識するだけでソーシャルエンジニアリングに対して大きな効果を得ることができます。
ぜひ、本記事を参考にソーシャルエンジニアリングの対策を徹底しましょう。
