パスワードなどのセキュリティ上重要な情報を、話術や盗み見・盗み聞き など社会生活上実際に起こり得る問題を利用して入手しようとする行為。
ソーシャルエンジニアリングは直訳すると「社会工学」。「社会的手口」 とも訳されます。
本来、「社会工学」とは人間の社会的行動を科学的に研究し、社会生活上の
実際問題を解決しようとする学問のことですが、インターネットに関連した
話題の中でSocial Engineeringという単語を使用する場合はクラッキングの
一手法を指す場合が多いようです。
具体的には、メールや電話で他人になりすまして関係者からパスワードなど
の秘匿情報を聞き出したり、企業から出されたゴミの中からセキュリティに
関連する資料を探し出す、また、パソコンで重要な情報を入力している
ところを背後から盗み見るなどの行為があげられます。
ややもすると、セキュリティはプログラムの脆弱性やサーバー・回線等の
設備など技術的な側面のみに目がいきがちです。
もちろん、これらが重要であることに変わりはありません。
しかし、頻発する個人情報漏洩事件などの原因の約8割が、内部の関係者
による盗難、設定ミスや不注意による流出などの人為的な要素です。
ソーシャルエンジニアリングの手口の中には、その企業でのみ通用する
用語を使用して内部の人間と信じ込ませ、緊急を装いパスワードなどを
聞き出すといったものがあります。
こうした場合、皆さんは100%騙されないといいきれるでしょうか。
従業員が数十名規模の企業であれば名前と顔が一致しますが、数百・
数千人となると、きっと即座に内部と外部の判断は難しいでしょう。
そこへ「大至急!」と言われると・・・。
こうした担当者など内部の関係者から情報の漏洩を防ぐためには、情報の 経路を確実にし、管理方法など取り扱いのルールをしっかりと構築し、 運用することが重要です。
クラッカー
ショルダーハック
セキュリティポリシー
なりすまし
フィッシング詐欺
| ア | カ | サ | タ | ナ | ハ | マ | ヤ | ラ | ワ |
| A - E | F - J | K - O | P - T | U - Z | 数字 | ||||