2012年

12月

27日

情報セキュリティ対策 その10 ~ソーシャルエンジニアリング~

 

「ソーシャルエンジニアリング」とは、ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの手段によって、パスワードなどのセキュリティ上重要な情報を入手することです。

 

パスワードを入力するところを後ろから盗み見たり、オフィスから出る書類のごみをあさってパスワードや手がかりとなる個人情報の記されたメモを探し出したり、ネットワークの利用者や顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す、などの手段があります。

 

個人確認が不十分だったり、組織内部での機密情報の管理ルールが不完全だったりすると、ソーシャルエンジニアリングによって機密情報が漏えいしてしまう恐れがあります。

 

フェイスブックなどで第三者が検索できる個人情報だけで、その本人になりすますことができるか、という実験をした事例があります。コールセンターに電話して、Webに公開されているレベルの自分の個人情報だけで本人と認められるか試したというものです。

 

その結果はと言えば、お金を直接取り扱うサイトではなかったものの、電話口で自分のパスワードを教えてもらったそうです。

 

情報セキュリティに対する脆弱性となるのは何もシステムだけではありません。機密情報の管理体制が整っていないといった人間の振る舞いに関する問題点も脆弱性となり得ます。

ソーシャルエンジニアリングは、まさに人間の脆弱性に付け込んだ攻撃です。

 

独立行政法人情報処理推進機構(IPA)では、「ソーシャルエンジニアリングを巧みに利用した攻撃の分析と対策」を公開しています。
ぜひ、ご覧ください。
http://www.ipa.go.jp/security/vuln/report/documents/newthreat200902.pdf


NICO 情報戦略チーム 倉田

 

「いいね!」ボタンを押していただくと、最新情報をお届けできます。

 フィードの購読もできます。

 (NEWS,BLOGのみ)

連載ブログ 

 大人気3rdシリーズ

 

公益財団法人にいがた産業創造機構

産業創造グループ

情報戦略チーム

TEL 025-246-0069

Mail  kns@nico.or.jp