情報セキュリティ(40) サイバー攻撃の手口⑬ ソーシャルエンジニアリング
人間の心理を突いて行う攻撃です。技術的な攻撃というよりは、極めて人間的な方法です。下記の攻撃が典型的です。
①電話
銀行などになりすまして本人に電話をして、パスワードなどを聞き出すなどです。「当社では電話でパスワードをお聞きすることはありません」という貼り紙が銀行などに書いてありますが、このような攻撃を防ぐ目的があります。
②ショルダーハッキング
ATMなどで端末を操作している人の肩越しに操作を見て、パスワードなどの情報を盗み見ます。ブラインドタッチをしていても、こっそり録画されて解析されれば、パスワードを盗み取られてしまいます。喫茶店などで端末を操作している時も、盗み見には気を付けるべきです。正面からでなければ画面を読めないような、偏光シートをスクリーンに貼っておくのも効果的です。
③スキャベンジング
ゴミ箱を漁って重要な情報を盗み取るという、古典的な方法です。個人情報などを一般ごみとして出すようなことは、してはなりません。シュレッダーなどで読み取ることができないようにするべきです。PCやサーバを廃棄する際も同様で、ハードディスクなど情報を格納するデバイス(ストレージ)は、物理廃棄が基本です。
④フィッシング(Phishing)詐欺
偽メールで偽サイトに誘導し、IDやパスワードを盗みとって、金銭を盗み取る詐欺です。いかに本物に似せたメールを作り、偽サイトを作るかが、攻撃者の腕の見せ所ということで、これも人間の心理のすきを突いた攻撃と言えます。Phishingという言葉は、釣りのfishingをなぞらえて造られた造語のようです。
これらの人間的な攻撃は、だまされないような心構えをしておくことが最大の防御となります。情報を守るのは家のカギをかけるのと同じことで、常に注意をすることが肝要です。