あなたを狙うソーシャルエンジニアリングの脅威：うっかりだまされてしまう8つの質問 (3/3)

[佐藤隆，ITmedia]

6.この人は何を言っているんだろう？――「バッファオーバーフロー」

　相手に対して多くの情報を詰め込み、理解の範囲を超えさせて情報を引き出す方法だ。相手が特定の分野に詳しくない場合は、専門用語を多用するとその人が会話の内容を理解できなくなってしまう。日本語で説明できる内容を、あえて英語の略称を使うことで理解を困難するといった方法が典型的なものだ。

　テクニカルワードのところでも言及したが、とかく情報システムには英語を使った専門用語の略称が多く存在している。一般の社員に、RAS（リモートアクセスサーバ）、トークン（ワンタイムパスワードの生成装置）などIT特有の言葉を多用して話すと混乱してしまうことが多い。

7.先手を取られないように注意――「ギブアンドテイク」

　相手の欲しがる情報を先に与えて、情報を交換する手法は、ギブアンドテイクと呼ばれる。まず詐欺師は相手が欲しがっている情報は何かを聞き出し、その情報を先に教えてしまう。相手は感謝の気持ちも手伝って、貸しを返そうとする。そんな心理的な状況を作り出し、情報を引き出そうとする。

　仮に、伝えてはいけない情報を教えてしまったことに気付いて、その事実を意識的に隠そうと振る舞うと、反対にその事実をネタに、より機密性の高い情報を引き出そうとする場合もある。

8.アンケートと称した手法も――「ラストワン」

　連続で単純な質問をして相手を油断させ、最後の質問で目的となる情報を入手する方法だ。ロングタイムとも似ているが、ロングタイムは時間をかけて行う一方で、ラストワンではあまり時間をかけない。

　例えば、公的な調査やアンケートと称して、事務的に単純な質問を次々と出していく。相手も単純な質問なので次々回答し、最後に肝心な質問をされても気付かずに答えてしまう傾向にある。

---

　次回は、このような手法によって機密情報を引き出されないために、企業ができる対策を中心に説明しよう。

共有する

プリント／アラート

オンラインムック Special

- PR -

Special

- PR -