ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ハッキングなどの攻撃を仕掛ける事前準備として、パスワードなどの重要情報を物理的に入手する術を指す。実施者は、パスワードを肩越しに覗き見する、なりすましなどで相手から聞き出す、オフィスから出るゴミから情報の断片を拾い集めるといった、アナログな手法で重要な情報を得る。
情報を持つ対象に近づき、机に貼られたパスワードのメモを盗み見たり、スマートフォンやATMなどでパスワードを入力する際に覗き込む行為はソーシャルエンジニアリングの最も基本的な行動だ。また、取引先の名前や警察、銀行などを騙り、電話で対象からパスワードや暗証番号を聞き出すといった行為もソーシャルエンジニアリングといえる。
ソーシャルエンジニアリングは、強固なセキュリティ対策を施したシステムであっても、それを扱う人間自体がセキュリティホールになりうることを示す事例であり、こうした被害に遭わないよう、パスワードなどの重要な情報の取り扱い方について取り決め、そして社員へ指導・教育を行うことは不可欠だ。
(陣武雅文)