セキュリティ
オフラインの危険性! ソーシャルエンジニアリングの手口とその対策

情報セキュリティというと、オンラインによるサイバー攻撃が注目されるケースが多いですが、オフラインで重要な情報が狙われるソーシャルエンジニアリングの危険性も忘れてはいけません。そのやり方は情報セキリュティにおける弱点のひとつである人間の心理的な隙を狙ったものと言えます。
ソーシャルエンジニアリングとは何か、そしてその巧妙な手口、その対策について解説します。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、ネットワークにアクセスするためのパスワード、個人情報、機密情報などの重要な情報を、標的となる人間の心理的隙や行動のミス、物理的な情報管理の甘さにつけ込んで入手する方法のことです。
システムの脆弱性を突いたり、マルウェアを仕掛けたりといったオンラインによる攻撃方法を用いるのではなく、「オフィスに入り込む」「人を騙す」「盗み見る」といったオフラインでのアナログな方法を使って情報を手に入れるのがソーシャルエンジニアリングの特徴です。
ソーシャルエンジニアリングの主な手口
代表的なソーシャルエンジニアリングの手口には次のようなものがあります。
構内侵入
構内侵入は、企業のオフィスや、オフィスを構えているビルなどに侵入する行為です。社員がビルに入ろうとするときに同伴者のふりをして侵入する、拾得した、または偽造したIDカードで入退室管理システムを突破する、清掃員や回収業者になりすますか、実際に仕事に就いてオフィスに入る、などの方法があります。
侵入後は机の上の書類やモニターに貼られた付箋をチェックする、あるいは後述するショルダーハッキングやトラッシングなどで情報を盗み出します。
なりすましの電話
情報システムの利用者のふりをして管理者に電話をかけ、パスワードの変更を依頼するなどして騙す手口です。逆に管理者になりすまして利用者に電話をし、パスワードを聞き出すといったケースもあります。
ショルダーハッキング(覗き見)
肩越しにパソコンの画面やキーボードを操作する様子を覗き込んでパスワードなどを盗むのが、ショルダーハッキングです。実際に肩越しではなくても、多少離れた場所から指の動きを動画撮影などされると、持ち帰って動画を解析することでパスワードを知られてしまうことがあります。
トラッシング
トラッシングはゴミ箱を漁る行為です。捨てられた資料からパスワードなどの情報、サーバやルータの設定情報、ネットワーク構成図などが漏れるおそれがあります。シュレッダーにかけたあとの紙であっても、持ち帰られると復元される可能性がゼロではありません。また壊れるなどして何の処理もせずに捨てた記録メディアも非常に危険です。
ソーシャルエンジニアリング対策
ソーシャルエンジニアリングによる被害を防ぐにはどのような方法があるのでしょうか。有効な対策を見てみましょう。
ソーシャルエンジニアリング対策の啓蒙・研修
まず、ソーシャルエンジニアリングという手口が存在していることを従業員に正しく伝達する必要があります。研修などを通じて、一人ひとりが、セキュリティリスクは身近に存在するという意識を持つようにしましょう。
同時に、社員やアルバイトなど内部の人間による情報の盗み出しなども発生することがないように、情報漏えいに対する危機意識、組織の一員としての責任について啓蒙していく必要があります。
入退室管理(監視)
入退室管理は構内侵入を防ぐための重要な関門となります。IDカードによる認証方式で出入りをチェックするだけではなく、入室履歴を確認する担当者を決める、部屋によっては生体認証を導入する、監視モニターを設置する、厳格な入室制限を設けるといった対策を考えるべきでしょう。
社員に身分証を必ず携帯させる
入退室管理にも利用できるIDカード機能付きの身分証(社員証)は、ネックストラップで首からかけるなどして必ず携帯するよう徹底しましょう。入退室以外にも、パソコンにログインする際にもIDカードが必要な仕組みにするといった活用法もあります。
パスワードは紙の文書で残さない
複雑なパスワードを設定したにもかかわらず、そのパスワードを付箋に書いてモニターに貼っている、というのは意外にもよく見かける光景です。他にも紙の文書に書き残す、スマートフォンのメモ帳に入力するといったことも避けましょう。覚えるのが大変な場合はパスワード管理用のアプリなどを使うべきです。
記録メディア、ハードディスクの管理・破棄の徹底
仕事で使用するUSBメモリなどの記録メディア、ハードディスクの管理には特に注意を払いましょう。ノートパソコンも同じですが、重要な情報やログが残されている可能性のあるハードウェアが盗まれてしまうと、そのダメージは非常に大きなものになってしまいます。故障や経年劣化によって廃棄する場合も、専門業者に依頼するなどセキュリティ対策に万全を期してください。
たとえどれだけ強固な情報セキリュティシステムを構築していても、ソーシャルエンジニアリングに対して無防備であれば、重要な情報があっさりと盗み出されてしまいます。
ソーシャルエンジニアリングとはどんなものか、どんな事例があるか把握し、どうすればそれが防げるのか、自社に合った対策を立て、強固なセキュリティ環境を構築しましょう。