ソーシャルエンジニアリングの事例を分析すると、幾つかのパターンに分類できる。パターンを知れば、プロの詐欺師にだまされないための対策につなげられる。
本記事の関連コンテンツは、オンライン・ムック「あなたを狙うソーシャルエンジニアリングの脅威」でご覧になれます。
ソーシャルエンジニアリングが使われた事例を分析すると、幾つかのパターンが存在していることが分かる。プロの詐欺師は、状況に応じて複数のパターンを組み合わせている。情報を盗まれないためには、個別の攻撃パターンを理解することが役に立つ。
「個人情報が流出したので、至急下記URLにアクセスし、○月○日までにパスワードの変更をお願い致します」
これは、フィッシング詐欺で使われる最も簡単なメールの一文だ。この文を読んで「こんな言葉にだまされない」と思ったのではないだろうか。だが、この一文にはソーシャルエンジニアリングで使われるパターンを見つけることができる。ここには、金融機関からの電子メールを思わせる「ネームドロップ」、期間を限定する「ハリーアップ」といった手法が使われている。プロの詐欺師はこのようなパターンを複数組み合わることで、相手の信頼を獲得し、必要な情報を引き出すのである。
それではソーシャルエンジニアリングで用いられる攻撃パターンを分類し、特徴を説明しよう。
コンピュータ犯罪の映画などでも見かけることもあり、ソーシャルエンジニアリングと聞いて多くの読者が最初に想像した手法ではないだろうか。名前のとおり、ゴミ箱から情報を収集するという方法だ。清掃業者のアルバイトになったり、従業員や清掃業者になりすまして建物に侵入する。
「まさかゴミをあさるなんて」と感じるかもしれないが、日本でも、電気通信事業者、鉄道会社から出た電子メールの内容を印刷した紙、非公開の時刻表、設計図などがトラッシングによって収集されていたという例がある。また、電子媒体(フロッピーディスク、CD-R、HDDなど)からは暗号化された営業顧客データや計画書が多数発見されている。トラッシングによる情報収集は現在でも行われている。
紙の文書の場合であれば、シュレッダーで裁断することで解読できなくなるとされているが、使用するシュレッダーの種類によっては解読できる場合がある。また、電子媒体は情報を完全に消去せずに廃棄しがちなので十分に気を付けたい。
ゴミの中の従業員の名前、部署名、内線番号などが残っていれば、それを手掛かりに別のソーシャルエンジニアリングへと活用されるきっかけになる。もちろん、無断で建物に侵入すれば犯罪になる。このため、監視カメラを取り付けている企業も多いが、監視カメラ自体を観察して性能を調べ、識別可能な推定距離から死角を割り出し、内部に侵入するケースもある。最近の監視カメラはカメラカバーを取り付けることが多いが、単なるホコリよけというよりは、このような人間に仕様を知られないようにする意味合いが強い。
Copyright © ITmedia, Inc. All Rights Reserved.