8. ソーシャルエンジニアリング
8.1. ソーシャルエンジニアリング
ソーシャルエンジニアリングは他人を操りその人が持っている情報を聞き出したり、その人の権限を勝手に使うことを指す。 多くの場合、人間の心理的な好きや行動のミスに漬け込むものとなっている。
8.2. ソーシャルエンジニアリング攻撃が容易な組織の特徴
ソーシャルエンジニアリングへの対策が十分ではない組織の特徴は以下のようなものがある。
- セキュリティの訓練不足
- 情報へのアクセス管理が不十分
- 組織単位で連絡が取れていない
- セキュリティポリシの欠如
8.3. ソーシャルエンジニアリングの有効性
ソーシャルエンジニアリングは以下の観点から有効的な攻撃であると言える。
- セキュリティの構成要素で最も漬け込みやすいのが人であるから
- 検出が困難
- 完全回避が困難
- 防衛機器がない
8.4. ソーシャルエンジニアリングの目的
ソーシャルエンジニアリングの目的はいろいろあるが以下の補助として使われる場合がある。
- ネットワーク攻撃の偵察フェーズとして
- マルウェアを直接送り込む手段として
- ネットワーク盗聴の準備として
8.5. ソーシャルエンジニアリングの手法
8.5.1. なりすまし
一般的には他人に成りすまして電話やメールで接触を行うもの。 またリバースソーシャルエンジニアリングと呼ばれるターゲットに話させるテクニックもある。
8.5.2. 現地に赴く
現地に赴くのは直接会話や情報を盗み見聞きできるのが特徴となる。
- セキュリティゲートを通る場合
- ピギーバッキングやテールゲーティングて侵入する
- ダンプスターダイビング ... ごみ箱/郵便受けをあさり情報を盗み出す
- ショルダーハッキング ... 後ろからのぞき見
- PCにアクセス ... マルウェアのUSBからインストール/キーロガなどの不正な装置の追加
- 工作活動 ... 電源/通信設備の破壊、監視カメラ/盗聴器の設置など
8.5.3. スピアフィッシング
メールなどのメッセージを用いたフィッシング。 特定サイトへの誘導や添付ファイルのDLと展開をさせることを目的とする。
8.5.4. SNS
SNSを使ってなりすましグループやコミュニティに参加する。