簡単にだまされない、これだけの鉄則あなたを狙うソーシャルエンジニアリングの脅威(2/2 ページ)

» 2006年04月24日 13時15分 公開
[佐藤隆,ITmedia]
前のページへ 1|2       

・「上司を呼べ」「社長を出せ」

 このようなことを要求する顧客がいた場合、安易に電話を引き継がないというのが対策の基本となる。質問内容を明らかにして、担当者から折り返し電話するという対応を徹底するようにする。折り返し電話させることの意味は、顧客に同じ回答を繰り返して気分を害するのを防ぐという第一義的な目的だけでなく、ソーシャルエンジニアリング対策としても有効だ。

 折り返し先の電話番号と名前を確認することで、ソーシャルエンジニアリングの基礎テクニックである第三者になりすますネームドロップを回避できる。また、質問内容を記録に残すため、専門用語を多用されても専門の担当者から支援を得られ、対応した人が安易に会話に乗せられてしまうのを防ぐことが可能だ。さらに、社内で対応を相談する時間も稼げるので、無理矢理に回答期限を迫られるハリーアップに引きずり込まれないる利点もある。また、何よりソーシャルエンジニアリングを使う人間は、記録から追跡される恐れが高まるのを嫌がるので、非常に有効だ。

・業務範囲外の情報を要求されたら

 本人が知っている情報であっても、業務範囲外の要求であれば断るというのが基本だ。業務範囲外の情報を要求してくるような場合、詐欺師はギブアンドテイクという手法を使用する傾向にある。特に、社員の個人情報(携帯電話や私用メールアドレス)を教えてほしいという問い合わせは、日常、業務を行う上で受けることの多い内容だが、これらの情報は組織の管理が及んでいないだけでなく、安易に教えるとトラブルに発展する可能性が高い。このような場合も本人から折り返し連絡させるという対応が基本だ。

 また、知らない情報を聞かれた場合は、現在応答している電話から直接、該当部署に回せないことを説明し、公開されている該当部門の代表電話番号を知らせるようにしたい。

社内連絡の活用例

 社員をどんなに研修しても、詐欺師はすぐに新しい手口を使って情報を入手しようとする。そのため、ソーシャルエンジニアリングが行われたことを確認できた場合は、被害が拡大しないように迅速に社内で情報を共有しておく必要がある。

 これはある企業が遭遇したソーシャルエンジニアに対し、全社員に電子メールで注意を促した中身の抜粋である。

 

 社員各位

                          ×年×月×日

                        情報セキュリティ責任者

                            ○○ ○○

 なりすましによる情報提供防止のお願い

 先日、シンガポール支社の職員と称する者から日本支社代表番号へ、情報システムのアンケートを実施しているので、システム責任者の電子メールアドレスを要求する電話がありました。電話を受けた職員が内容に疑問に感じ、折り返し電話する旨を伝えていったん切り、改めて事実を確認したところ、その職員が存在しないことが判明しました。第三者が職員になりすまし、情報の引き出しを試みた模様です。未然に防げたため、社内から情報は流出しておりません。

 最近、こうしたソーシャルエンジニアリングを使った情報を引き出す問い合わせが増えています。各位、情報管理の徹底をお願いいたします。

 情報セキュリティ委員会

 電話番号 ○○−○○○○−○○○○ EXT.○○○○

 電子メール XXXXXXX@XX.XXXX.com


 これだけでも、社員は改めてソーシャルエンジニアリングに対して気を引き締めることができる。社員の頭の片隅にこのような手口があることを思いとどめさせておくだけで、いざというときに相手を疑う意識を持つようになり、安易に情報が流出してしまう可能性は低くなる。

 ソーシャルエンジニアリングは人間の心理を悪用する手法のため、その対策は過去の手口から導き出される教訓から予防策を導き、それを社員に徹底してもらわなければならない。新たな手口に対しては、すみやかに関係者の間で情報を共有し、改めて気を引き締める環境作りが必要だ。

 ソーシャルエンジニアリングを利用するのは必ず個人だと決めつけることはできない。反対に企業が利用していることもある。あるメーカーでは、違法ソフトをコピーして販売していた新興宗教系PCショップに対して、簡単なソーシャルエンジニアリングを活用し、違法販売の証拠を突き止めていたという例がある。

 この新興宗教系PCショップから違法ソフト購入したユーザーのソフトに不具合が起きると、正規のメーカーの問い合わせ窓口に電話がかかってくる。そこでメーカー側は正規のライセンスを取得していないことを知るが、原因を解決するためと称し、動作不良の原因とは関係のない購入店と購入時期を聞き出し、証拠を残していった。こうして収集した情報を著作権違反として摘発材料として活用していた。

 その目的は、もちろん自社の知的所有権を守り、既存顧客を大切にするためである。該当の業務に従事する担当者に、あらかじめこのような専門の社内教育を実施している企業もある。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ