どうも!ひよこSE(@PiyoOct)です。
ソーシャルエンジニアリングって何?
わかりやすく一言で言えば、「人間の隙(すき)を突いた心理攻撃のこと」です。
色々と悪だくみをする技術そのものは、人々の知らないところで、進歩しています。
ただ、誰も知らないような高度な技術を使って、かっこよく(?)攻撃を決めるよりも。
「重要な書類なので確認してください!」みたいなメールを送り付けて、それを開かせることで、PCを乗っ取るようなマルウェアに感染させる。
みたいな、ありきたりな攻撃の方が、簡単に決まったりするのです。
ソーシャルエンジニアリングとは、人間の隙(すき)をつく心理攻撃
ソーシャルエンジニアリングとは、「人間の隙(すき)をついた心理攻撃」全般のことです。
具体的な方法ではなく、「隙を突く」という考え方そのもの
ソーシャルエンジニアリングは、具体的に「●●して攻撃」というのではなく、根っこにある考え方そのものを指します。
例えば、冒頭の 「重要な書類なので確認してください!」メールは、具体的な攻撃名でいうと「標的型メール」ですが。
「標的型メール」の根本にある考え方は、メールを受け取った人が「重要な書類」だと信じてしまう心理を利用しています。
ソーシャルエンジニアリングの一例
標的型攻撃メール以外にはないの?
他にも4つあります!
ぜんぶをしっかり覚えておくというよりも、「人のスキをつく」という考え方を覚えておけば。
出題されたときに
あ~!スキついてるから、ソーシャルエンジニアリングだね
みたいに、判断できると思います(*´ω`)。
基本情報技術者試験での出題例
H26年秋の基本情報技術者試験では、こんな感じでH27秋に出題されています。
ソーシャルエンジニアリングに分類される手口はどれか。
「IPA」より引用
ア. ウイルス感染で自動作成されたバックドアからシステムに侵入する。
イ. システム管理者などを装い、利用者に問い合わせてパスワードを取得する。
ウ. 総当たり攻撃ツールを用いてパスワードを解析する。
エ. バッファオーバーフローなどのソフトウェアの脆弱性を利用してシステムに侵入する。
人間の隙をつく、「システム管理者」だと思い込ませるような攻撃をしているのは、イだけですね。
ソーシャルエンジニアリングの対策は「注意しましょうね」しかない
それじゃあ、ソーシャルエンジニアリングってどうやって対策するの?
「注意しましょうね」としか言いようがないです。
ソーシャルエンジニアリングは、「こういうことがあるので注意しましょうね」と呼びかけるのが限界です。
- 標的型メール⇒すぐにメールは開かない
- 離席時のロックのかけ忘れ⇒ロックは必ずかける
- 入力する様子をのぞき見⇒後ろに変な人いないかを確認
- 机の上に置きっぱなし⇒ちゃんと鍵をかけてしまう
- ゴミ箱の、のぞき見⇒ごみ箱でなくシュレッダーにかける
人が油断する瞬間をねらうので、技術的な解決ではなく、普段の心がまえにかかっています。
まとめ
ソーシャルエンジニアリングときたら、「人間の隙(すき)を突いた心理攻撃のこと」です。
具体的な方法ではなく、「油断やスキを狙う考え方そのもの」です。
対策は、メールの添付ファイルはつねに用心するみたいに。
「その人の普段の心がまえとして気を付けるしかない」ですね(-_-;)。
コメント