情報セキュリティマネジメント試験 用語辞典
(Wikipedia ソーシャル・エンジニアリングより)ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(Social engineering : 社会工学)。
なお、今日喧しいフィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。
概要
元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング(ソーシャルハック)、ソーシャルクラッキングとも言う。
ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。
- 重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
- 現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する()。
- ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。
- IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
- 特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。
カード詐欺
コンピュータのパスワードを入手するだけでなく、クレジットカードやキャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口にも用いられる。電話で連絡を取り、
- 警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す
- 信販会社を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す
暗証番号は、カードの会社・金融機関等が用意した端末以外に入力するべきではない。カードの会社等の担当者ですら、聞く事はあり得ないと言ってよい(暗号化されており解析不可能。正当な顧客からの問い合わせに対しても再登録するよう指示がされる)。
また、直接暗証番号を尋ねずに、生年月日等の個人情報を尋ねて預金の不正引出に及んだ例もある。これは生年月日を暗証番号として設定していた事例である。
手口の一例
個人情報を聞き出す為にも用いられる。電話で連絡を取り、
- 学校の同級生の親族をや警察を名乗り、本人や他の同級生の住所や電話番号を聞き出す
- 宅配便を名乗り、住所が良く判らないという口実で正確な住所を聞き出す
- 興信所を名乗り、本人に縁談があるという口実で素行などを聞き出す
- 警察や公安委員会、裁判所を名乗り、住所や電話番号、家族構成、勤務先、通学先をなどを聞き出す
出題例
[出典]情報セキュリティマネジメント 平成05年春期 問39[出典]基本情報技術者 平成26年秋期 問36
- ウイルス感染で自動作成されたバックドアからシステムに侵入する。
- システム管理者などを装い,利用者に問い合わせてパスワードを取得する。
- 総当たり攻撃ツールを用いてパスワードを解析する。
- バッファオーバフローなどのソフトウェアの脆(ぜい)弱性を利用してシステムに侵入する。
「脅威」の用語
「情報セキュリティ」の他の分野
「セキュリティ」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「ソーシャル・エンジニアリング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。
Pagetop