ナレッジ

ソーシャル・エンジニアリング

ビジネスキーワード:ファイナンシャルアドバイザリー

ファイナンシャルアドバイザリーに関する用語を分かり易く解説する「ビジネスキーワード」。本稿では「ソーシャル・エンジニアリング)」について概説します。

ソーシャル・エンジニアリングの概況

ソーシャル・エンジニアリング(以下、「SE」)とは、主にネットワークシステムへの不正侵入を達成するために、社会的な手段により必要なIDやパスワード等のセキュリティ上重要な情報を入手する手法をいう。SEの手口には、パスワードを入力するところを後ろから盗み見たり、書類のごみを漁りパスワードや個人情報を探し出したり、ネットワーク利用者や顧客、時には親族になりすまし情報を聞き出す等さまざまな種類があるが、共通する特徴として不正実行者が(1)企業等の機密情報の入手を目的とする行為であること、(2)人間行動における隙、弱点、盲点等を悪用した手口を用いること、が挙げられる。

SEによる被害は世界規模で報告されており、「The Risk of Social Engineering on Information Security」(Check Point Software Technologies:2011年9月)によると、回答企業全体の32%、また従業員数5,000人以上の大企業のほぼ半数(48%)が、過去2年間にソーシャル・エンジニアリング攻撃を25回以上受けており(「図表1」を参照のこと)、SE攻撃1件当たりの平均損害額については、全回答企業の48%が2万5,000ドル以上、大企業の30%が10万ドル以上と回答している(「図表2」を参照のこと)。

図表1:過去2年間におけるソーシャル・エンジニアリング攻撃の頻度

インシデント1件あたりの平均的な損害額

ソーシャル・エンジニアリングの手口と対応策-1

不正実行者が行うSEの手口にはさまざまな種類があるが、典型的な手口として以下の3種類が挙げられる。

(1) なりすまし(電話等で情報を聞きだす)
一般的な手口として、「ネームドロップ」という、上司になりすますことで権威に弱い人間から情報を詐取する手口や、「フレンドシップ」という、同僚や仲間を装うことで相手が心を許し善意から情報提供することを狙いとする手口が用いられる。

特に近年では、なりすましの手口としてFacebook等のSNSを用いる事例も増えており、注意が必要である。システム管理者を装い、「パスワードの有効期限が切れています。至急現在のパスワードを入力してください。」というメッセージを送信したり、友人であるかの様に装い、重要情報を入手しようと試みるのである。SNSを使った手口において「トロイの木馬」(それ自身には感染する機能はないが、何か有用なプログラムであることを偽装してユーザーを騙し、実行させるプログラム)が用いられる事例も増えており、個人情報・企業情報の管理には十分留意が必要である。

【不正事例】
システム担当者:「情報システム部担当の小澤です。」
不正実行者:「経理部の田中太郎と申します。本日入社したため何も分からなくて……、こちらにお電話すると解決すると言われたのですが。」
システム担当者:「そうですか。社内のアカウントはご存知ですか。」
不正実行者:「いえ、入社したばかりで何も分からないのです。」
システム担当者:「分かりました。取りあえず「IDは“XXXXX”、パスワードは“0000”」で入ってください。パスワードは1週間以内に変更して下さい。」

この後システム担当者は、偽の新人社員についてアカウントを作成しようとし、人事に問い合わせるが、SEの被害にあったと気づくまでに、数分を要してしまった。
(出典:デロイト トーマツ ファイナンシャルアドバイザリーが作成)

ソーシャル・エンジニアリングの手口と対応策-2

対策例としては、偽造の難しい身分証を発行し携帯を義務付けることや、重要情報に関する取扱いや管理に関する規程を策定、明文化し、責任の明確化を行うことが挙げられる。また、電話でパスワードを質問されたり、アクセス権に関する情報を聞かれた場合は、最低限でも本人性を確認すべくコールバックするように徹底するべきであり、その場合にも、本人の自宅の電話番号や携帯端末からでない場合、例えば公衆電話からの問合わせには応じないことが重要である。また、抜打ちで「素性の分からない相手に対してパスワードを教えない」というセキュリティ対策が、遵守できているかどうかを定期的にテストすることも有効である。

【企業の対応策事例】
A社ではTwitterやFacebook等のソーシャルメディアを使って情報を発信する際のルールを定めており、自社サイトにて公開している。

ソーシャルメディアにて公開しても良い情報、公開してはならない情報、ルールに反した場合の処遇等をソーシャルメディア・ポリシーとして定め、社内外に周知することで従業員に対し重要情報の取扱いに関する意識づけを行っている。
(出典:デロイト トーマツ ファイナンシャルアドバイザリーが作成)

ソーシャル・エンジニアリングの手口と対応策-3

(2) ショルダーハッキング(肩越しに入力内容を見る)

パスワードなどの重要な情報を入力しているところを後ろから近づいて覗き見る手口である。単純な手口ではあるが、成功すれば労せずパスワードやクレジットカードの番号等を入手することができる。

対策としては、パスワードなどの重要情報をPC周辺にメモ書きとして残しておくこと等を厳禁とすることは勿論であるが、パスワードの設定にあたって、生年月日や社員IDを用いたものなど推測が容易なもの、仮に覗き見られたときに覚えることが容易であるものは禁止とすることが重要である。例えば「パスワードは最低10文字。アルファベットと数字、特殊記号(@や#など)を組み合わせたものでなければならない」というセキュリティとしておくだけでも、入力を覗き見ただけでの模倣は困難となる。

(3) トラッシング(ごみ箱を漁る)

ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、ユーザー名やパスワード等の情報を探し出す手口である。シュレッダーの利用が徹底されていない等、書類の廃棄や文書管理が出来ていない場合には情報漏洩の危険性が高まる。

最後に

企業が導入できるセキュリティ対策にはさまざまなものがあるが、人間の心理につけこみ情報を詐取する手口であるSEの場合、技術的な解決策は必ずしも有効ではない。防止のためには情報セキュリティ・ポリシーを定めたうえでSEの仕組み、不正実行者が入手しようとするデータ、従業員が外部に伝えても良い情報等について従業員への教育・指導が必要となる。

なお、本文中の見解にかかわる部分は、いずれも筆者の私見であることをお断りする。 

お役に立ちましたか?