HOME»情報セキュリティマネジメント用語辞典»ソーシャルエンジニアリング
情報セキュリティマネジメント試験 用語辞典
ソーシャルエンジニアリング
【Social Engineering】
【Social Engineering】
技術的な方法ではなく人の心理的な弱みに付け込んで、パスワードなどの秘密情報を不正に取得する方法の総称。例えば、ユーザになりすまして管理者に電話しパスワードを聞き出す行為、パソコンの操作画面を盗み見してパスワードを取得する行為などがこれに該当する。
(Wikipedia ソーシャル・エンジニアリングより)
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(Social engineering : 社会工学)。
なお、今日喧しいフィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。
概要
元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング(ソーシャルハック)、ソーシャルクラッキングとも言う。
ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。
- 重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
- 現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する()。
- ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。
- IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
- 特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。
カード詐欺
コンピュータのパスワードを入手するだけでなく、クレジットカードやキャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口にも用いられる。電話で連絡を取り、
- 警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す
- 信販会社を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す
暗証番号は、カードの会社・金融機関等が用意した端末以外に入力するべきではない。カードの会社等の担当者ですら、聞く事はあり得ないと言ってよい(暗号化されており解析不可能。正当な顧客からの問い合わせに対しても再登録するよう指示がされる)。
また、直接暗証番号を尋ねずに、生年月日等の個人情報を尋ねて預金の不正引出に及んだ例もある。これは生年月日を暗証番号として設定していた事例である。
手口の一例
個人情報を聞き出す為にも用いられる。電話で連絡を取り、
- 学校の同級生の親族をや警察を名乗り、本人や他の同級生の住所や電話番号を聞き出す
- 宅配便を名乗り、住所が良く判らないという口実で正確な住所を聞き出す
- 興信所を名乗り、本人に縁談があるという口実で素行などを聞き出す
- 警察や公安委員会、裁判所を名乗り、住所や電話番号、家族構成、勤務先、通学先をなどを聞き出す
出題例
緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
- ソーシャルエンジニアリング
- トロイの木馬
- 踏み台攻撃
- ブルートフォース攻撃
[出典]情報セキュリティマネジメント H28年春期 問25 解説
正解
ア
「脅威」に属する用語
- クラッキング
- 盗み見
- スニッフィング
- スキャビンジング
- ソーシャルエンジニアリング
- ファイル共有ソフト
- マクロウイルス
- ワーム
- ボット
- ボットネット
- トロイの木馬
- スパイウェア
- ランサムウェア
- キーロガー
- ルートキット
- バックドア
- ウォードライビング
- ガンブラー
- サラミ法
- バッファオーバフロー攻撃
- ダークネット
- Tor
- エクスプロイトコード
「情報セキュリティ」の他の分野
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
「セキュリティ」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「ソーシャル・エンジニアリング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。