簡単にだまされない、これだけの鉄則あなたを狙うソーシャルエンジニアリングの脅威(1/2 ページ)

人間の心理を突いて情報を引き出すソーシャルエンジニアリング。企業がこのような手法に引っかからないための対策を取り上げる。

» 2006年04月24日 13時15分 公開
[佐藤隆,ITmedia]

本記事の関連コンテンツは、オンライン・ムック「あなたを狙うソーシャルエンジニアリングの脅威」でご覧になれます。


 前回はソーシャルエンジニアリングのテクニックについて解説した。これによって、第三者になりすまして情報を引き出すというこれまでの漠然としたソーシャルエンジニアリングのイメージを整理できたと思う。そこで今回は、企業がこのようなソーシャルエンジニアリングに引っかからないための対策例を取り上げる。企業によって、守るべき情報や詐欺師からのアクセス手段も異なるので、カスタマイズして役立ててもらいたい。

守るべき情報とアクセス権者を特定する

 企業がソーシャルエンジニアリング対策を行うときの基礎となるのは、守るべき対象となる情報とそれへのアクセス権者を明確にしておくことだ。詐欺師がどんなにソーシャルエンジニアリグを駆使しようとも、最新の情報を入手するには最終的にアクセス権者から情報を引き出すことが必要となる。そのため、保有する情報の中から守るべきものを定め、それにアクセスできる人間の一覧を作成しておくのが対策の鉄則となる。ソーシャルエンジニアリングといえども、対策の基本は一般的な情報漏えい対策と大きくは変わらない。

 下記の例は大ざっぱなものであるが、守るべき情報とアクセス権者をこのように一覧にすることで、ソーシャルエンジニアリングに対する予防策や、事故発生後の緊急対処策、原因の追跡を考える際の手助けになる。この一覧を基に、ルールを定め、必要な部署や担当者に確実に実行してもらうことが情報の流出を防止することになる。

顧客の個人情報:顧客相談窓口の担当者、地域顧客対応責任者、苦情処理担当者

研究機密情報:研究部門マネジャー、担当研究員

ネットワーク構成図:情報統括責任者、情報システム部 運用管理課、同部基盤システム課

社員の個人情報:人事部、総務部、部門責任者

サポートセンターから学ぶ「だまされないコツ」

 サポートセンターや顧客相談窓口には、顧客という立場でさまざまな人間から問い合わせがある。そのためソーシャルエンジニアリングが活用される場としてターゲットになりやすい。つまり、ここでは他人の名前を偽ったネームドロップをはじめとした、あらゆるテクニックが悪用されることなる。

 そのため、一般消費者向けに製品を販売している企業A社では、窓口となるオペレーターにソーシャルエンジニアリング対策の研修を約2時間かけて実施している。その研修では、本来の業務となる製品の質問や相談に対する回答以外の対応について、実際に問題のある顧客の事例を活用しながら、それを解決するための方法を教育している。その中から、誰にでもすぐに実行できる対策の一部を紹介しよう。

 ちなみに現在のサポートセンターは、問い合わせ内容をデータベースに追記していくシステムを整えている。過去の問い合わせ履歴の中からさまざまな軸で検索して、要注意顧客の存在の有無を確認できる。そのため、ウソの名前を語ることはできても、電話番号を偽ることは困難な仕組みになっている。特に有料サポートの場合は、発信ダイヤル情報から自動的に契約社名、担当者名が表示されることが多く、偽名を使うような顧客は見破ることができる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ