ソーシャル・エンジニアリングって?

知らないとヤバイ!PCとスマホの情報セキュリティーの話

 ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことで、最近では、電子的な手段によらずハッキングを行ったり、ハッキングを優位に進めるといったこのソーシャルエンジニアリングという物が莫大に被害を増やしています。元々はプライベートな集団や政府といったような大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問ではあるのですが、現在問題になっているフィッシングやスキミングなども、行為自体はコンピュータ内で閉じていますが、人間心理的な隙をついている点ではこのソーシャル・エンジニアリングだと言えるのです。

実際の方法

 このソーシャル・エンジニアリングですが、ほとんどが、コンピュータウイルスやスパイウェアを用いない方法で行われるため、情報セキュリティーに関して比較的自信があったとしても、注意が必要です。例えば、パスワードを入手するために不法に住宅へ侵入したりといった極端な例もありますが、上司や重役や、重要顧客、システム管理者などの身分を詐称して電話をかけて重要情報を聞き出したり、または特定の顧客や団体を詐称し、コンピューターウイルスに意図的に感染させるという事もそうなります。

 また一昔前には現金自動預け払い機(ATM)等で端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記するショルダーサーフィンという犯行などがありましたが、これもある意味でソーシャル・エンジニアリングといえるでしょう。

 また最近では日本の中学生が「パスワードを変更すると得点が受け取れる」という内容のゲームの偽サイトを立ち上げ、様々な人物からアカウントを奪ったりといった事件までが発生しています。

 またコンピュータのパスワードを入手するだけではなく、クレジットカードやキャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不法出金を行う手口にも用いられます。電話で連絡を取り、警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す。信販企業を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す。暗証番号は、カードの企業・金融組織等が用意した端末以外に入力するべきではありません。カードの企業等の担当者ですら、聞く事はあり得ないと言ってよい。また、直接暗証番号を尋ねずに、生年月日等の個人情報を尋ねて預金の不法引出に及んだ例もありました。。これは生年月日を暗証番号として設定していた事柄であります。

基本的な種類

 このソーシャル・エンジニアリングですが基本的な3つの種類や傾向は、「TailGating/Impersonation(なりすまし)」「PhoneElicitation(電話による詐欺)」「Phishing(フィッシング)」の3つです。フィッシングは先程説明したような危機感を煽るような文面のメールでログインパスなどを奪おうとしてきます。そして、電話による詐欺などでは日本でも「オレオレ詐欺」や「劇団型恐喝」が行われたりしていますが、海外などだと更に巧妙化していってます。また、最初のなりすましですが、これは社員証を偽装したりや、運送会社だったり、清掃業者といった会社に入ってきてもおかしくないような服装でビルの中に侵入したりといった本格的にスパイのようなソーシャル・エンジニアリングをやっているところもあったりするのです。

なぜソーシャル・エンジニアリングを使うのか

 なぜ、ハッカーはソーシャル・エンジニアリングを使うのかと疑問に思った人もいるかもしれません。技術があるならそちらの方が簡単なのではと思うでしょう。しかし、そうではないのです。実は技術があったとしても、このソーシャル・エンジニアリングの方が非常に楽に、とてつもなく簡単に個人の口座情報や企業の情報を収集できるという特質を持っているからななのです。ソフトウェア・ベンダーや、情報セキュリティーに精通している企業は、特に高いセキュリティーのソフトウェアやハードウェアに関する知識を持っているため、こうしたハードウェアに侵入するのは非常に難しくなりますが、ともかく電話をかけてみたり、電子メールを送ってみたりといった手順を経ると、ファイヤウォールを破らなくても、IDSやIPSというシステムを全く心配する必要もなくウェブページのフォームや何回かの電話でいとも簡単に情報がとれてしまうからです。これに関して日本では騙される方が悪いというような認識であることがほとんどですが、手口は対策よりも更に早いスピードで進んでいる為、一概に防ぎきれるとは言い切れない状態になっているということもあります。仮に被害が出てしまった場合はその被害や、他社の被害の前例に学んで、より大きな被害へとつながるのを防いていくことが重要となっていくのではないでしょうか?

勿論ウイルスに対する注意も必要

 さて、本稿ではそんなウイルスなどに頼らないソーシャル・エンジニアリングやソーシャルハッキングに関する情報を紹介してまいりましたが、勿論ウイルスによる被害も年々増え続けているため、それに対する対策も必要になってきます。次のページではそんなウイルスがどのように進化してきたのかという歴史や成り立ちについても詳しく紹介していくので是非、勉強してみてください。