ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、ソーシャル(社会的)な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。

エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。

社会的な手段とは、コンピュータやネットワークの管理者や利用者から、盗み聞きや盗み見、話術による聞き出しなどの手段を用いることです。

ソーシャルエンジニアリングの例としては、以下のようなものがあります。

  • パスワードを入力するところを後ろから盗み見る
  • 本人になりすまして「パスワードを忘れてしまったので教えてください」などという電話をかけて、セキュリティ管理者からパスワードを聞き出す
  • オフィスのゴミ箱や路上のゴミ置き場などをあさって、廃棄された紙ゴミを収集して重要情報を盗む 

組織内部での機密情報の管理ルールや個人確認の方法が不十分だったりすると、この手法によって容易に機密情報が漏えいしてしまいます。

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191118042008p:plain
情報セキュリティマネジメント試験 平成29年度 春期 午前 問21

オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。

これが正解です。

この方法はソーシャルエンジニアリングの手法の一つで「スキャベンジング(ゴミあさり)」といいます。

イ キー入力を記録するソフトウェアを、不特定多数が利用するPCで動作させて、利用者IDやパスワードを窃取する。

これはキーロガーの説明です。

マルウェアは用いた技術的な方法になります。

ウ 日本人の名前や日本語の単語が登録された辞書を用意して、プログラムによってパスワードを解読する。

これは辞書攻撃の説明です。

プログラムを用いた技術的な方法になります。

www.aolaniengineer.com

エ 利用者IDとパスワードの対応リストを用いて、プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。

これはパスワードリスト攻撃の説明です。

プログラムを用いた技術的な方法になります。