確実に騙される? 何でもあり情報窃取の巧妙手口 スパイの手法に酷似する恐怖の手法とは

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小
(写真:show999/PIXTA)

あなたが勤務中、デスクの電話がふと鳴り、応対する。

あなた「はい、XXXです」

相手「システムの高橋(仮名)です。社内の端末についてセキュリティ・パッチを当てているのですが、XXXさんの端末だけ、うまくいかず直接ご連絡しました。使用しているPCのアップデートをかけたいのですが、操作をお願いできますか?」

あなた「そうですか。わかりました。どうすればよいですか?」

~指示通り、設定画面などを開かせられる~

相手「おかしいな、うまくいかないですね。私のほうで、リモートで操作しちゃいますので、マウスから手を放していただいていいですか。私が遠隔操作してセキュリティの更新をかけちゃいますね」

あなた「わかりました」

相手「遠隔操作したいので、念のため社員番号とログインIDとパスワードをお聞きしてもよいでしょうか……」

疑似攻撃はほぼすべて成功

こうしてあなたの個人情報は相手に渡る。これは、「ソーシャル・エンジニアリング」の簡単な手口の一例だ。そして、得た情報を手掛かりにサイバー攻撃や詐欺が行われることもある。

ソーシャル・エンジニアリングとは、総務省によれば「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法」と紹介されている。

その手口の例としては、以下の通りだ。

・関係者になりすました電話などによる聞き取り

・ショルダーハッキング(キー入力や画面を盗み見る)

・トラッシング(ゴミ箱をあさり、情報を集める)

上記の攻撃手法はあくまで、“例”であり、他にもメールによって悪意あるリンクを踏ませるなどの標的型メールといった手法も含まれる。

筆者は、企業の依頼を受け、当該企業に対し疑似的にソーシャル・エンジニアリングを用いた攻撃をしかけ、セキュリティホールを見つけるとともに社員への警鐘を鳴らす取り組み=ソーシャル・エンジニアリングテストを提供しているのだが、“ほぼすべて”成功している。なぜなら、ソーシャル・エンジニアリングの手法は多様かつ極めて巧妙だからだ。

関連記事
トピックボードAD
ビジネスの人気記事