ソーシャルエンジニアリングとは、ソーシャル(社会的)な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。
エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。
社会的な手段とは、コンピュータやネットワークの管理者や利用者から、盗み聞きや盗み見、話術による聞き出しなどの手段を用いることです。
ソーシャルエンジニアリングの例としては、以下のようなものがあります。
- パスワードを入力するところを後ろから盗み見る
- 本人になりすまして「パスワードを忘れてしまったので教えてください」などという電話をかけて、セキュリティ管理者からパスワードを聞き出す
- オフィスのゴミ箱や路上のゴミ置き場などをあさって、廃棄された紙ゴミを収集して重要情報を盗む
組織内部での機密情報の管理ルールや個人確認の方法が不十分だったりすると、この手法によって容易に機密情報が漏えいしてしまいます。
平成29年度 春期 情報セキュリティマネジメント試験 午前
ア オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。
これが正解です。
この方法はソーシャルエンジニアリングの手法の一つで「スキャベンジング(ゴミあさり)」といいます。
イ キー入力を記録するソフトウェアを、不特定多数が利用するPCで動作させて、利用者IDやパスワードを窃取する。
これはキーロガーの説明です。
マルウェアは用いた技術的な方法になります。
ウ 日本人の名前や日本語の単語が登録された辞書を用意して、プログラムによってパスワードを解読する。
これは辞書攻撃の説明です。
プログラムを用いた技術的な方法になります。
エ 利用者IDとパスワードの対応リストを用いて、プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。
これはパスワードリスト攻撃の説明です。
プログラムを用いた技術的な方法になります。