セキュリティ入門Web講座

広告枠・・・広告やリンク先の保証はしません


人間がセキュリティホール? ~ ソーシャルエンジニアリングとは ~

ソーシャルエンジニアリングとは

広告枠・・・広告やリンク先の保証はしません

意味

ソーシャルエンジニアリングとは、によるミスなどによる防御策の無効化情報の漏えいなど、技術的な攻撃ではなく、人に依存した攻撃方法です。

内部犯は?

内部犯による故意の漏えいも人に依存した攻撃と言えます。
ただ、この場合、本人の正当な権限に基づいた活動とも言えます。
攻撃とは言えない側面もあるため、多くの場合、含まれていないです。

どんな攻撃?

人に依存した攻撃は色々とあるので、代表的な攻撃をお話します。

  1. 盗み聞き・盗聴
  2. ショルダーハッキング・盗み見
  3. なりすまし
  4. 標的型攻撃
  5. トラッシング(スカベンジング)
  6. ネームドロップハリーアップ
  7. フィッシング
  8. SEOポイズニング

広告枠・・・広告やリンク先の保証はしません

盗み聞き・盗聴

社外での会話を聞かれる事です。
社内であっても、社外の人が入れる会議室や受付など、公開場所での会話も含まれます。
攻撃者が聞くことができる社外や公開場所で、機密情報などを会話することで漏えいします。
入退出管理などがされている社内の場合は、盗聴となります。

ショルダーハッキング・盗み見

社外でPCやスマートフォンを使った場合に、横からや後ろから、画面を見られることです。
盗み聞きと同じく、公開場所で画面を見られることを含みます。
後からのように肩越しに見られることがあるので、「ショルダーハッキング」と呼ばれています。
機密情報などが表示されているPCやスマートフォンの画面を盗み見されることで漏えいします。

社内でも公開場所でない場所で、盗み見られることがあります。
例えば、清掃などを外部業者に委託していたり、社内販売に外部の人が入ってくるような場合です。
机に機密情報が記載された書類を放置していたり、パスワードの管理でお話をしたモニターにパスワードなどの情報を張り付けていたりする場合、外部の人が盗み見ることができます。
外部の人が攻撃者であったり、攻撃者に情報提供することにより、機密情報が漏えいします。

広告枠・・・広告やリンク先の保証はしません

なりすまし

攻撃法

IDカードなど機密情報がある場所に入るために必要な物を、権限がある人になりすまして、攻撃者に利用されることです。
攻撃者が取得した物を利用することにより、不正に侵入され、情報が漏えいします。
その情報を利用して不正ログインされる場合も含まれます。

取得方法

盗難紛失により、攻撃者がIDカードなど、攻撃に必要な物を取得します。
また、PCなどにIDやパスワードなどの情報がある場合に、その情報を攻撃者が取得します。
その他、物の送付先やメールアドレスの入力を誤るなどの操作ミスにより、攻撃者に物や情報がわたるような場合も含まれます。

広告枠・・・広告やリンク先の保証はしません

標的型攻撃

既に「標的型攻撃とは?」でお話をしていますので、ご覧ください。

トラッシング(スカベンジング)

トラッシングとは、「ゴミ漁り」です。
廃棄するために社外に出した機密情報が記載された書類などを攻撃者が取得することです。
スカベンジング(スキャベンジング)とも呼ばれます。

PCやサーバ、スマートホンなどを廃棄する時に、情報を消去できておらず、攻撃者が取得する場合も含まれます。
情報を消去していない場合だけではなく、消去した情報が復旧できる場合も含まれます。

広告枠・・・広告やリンク先の保証はしません

ネームドロップハリーアップ

経営者や上司など権限を持った人になりすまし、担当者を慌てさせて、機密情報やパスワードなどを聞き出すことにより、攻撃者が情報を取得することです。
攻撃者は、電話など即答を求められるような方法を用い、怒鳴るなどして、担当者を慌てさせます。
担当者は慌てた状態なので、本人確認をしない状態で、攻撃者に正しい情報を話すように誘導する攻撃です。

広告枠・・・広告やリンク先の保証はしません

フィッシング

本物と間違うような偽サイトを用意し、利用者に正規のIDやパスワードを入力させることにより、攻撃者が情報を得ます。
得た情報により、攻撃者が不正ログインして、金銭や物を盗み取ります。

SEOポイズニング

SEO(Search Engine optimaze)とは、検索エンジンに上位表示させる手法です。
サイトにSEOを行うことにより検索結果で表示される順位が上昇します。
SEOポイズニングは、このSEOを悪用します。

具体的には次のようにします。

  1. 攻撃者は、フィッシングサイトや閲覧することによりウィルス(マルウェア)に感染する攻撃用サイト(攻撃サイト)を用意する
  2. 用意した攻撃サイトに対して、SEOを行う
  3. SEOにより、狙ったキーワードにより検索結果上位に表示させる
  4. 被害者が訪問するのを待つ

一般的に検索結果で上位表示されるサイトは信用度が高いと考えられています。
このため、被害者は、上位表示された攻撃サイトを信用できるサイトと考え、訪問します。
また、フィッシングサイトは、メールなどにより誘導されるとの思い込みから、検索結果に上位表示されたフィッシングサイトを信用して情報を入力してしまいます。

人が持っている信用を利用した攻撃です。

タグ:, , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!