ビジネスのIT化が進んだことで、ネットワークのセキュリティは多くの企業や組織で大きな課題となっています。セキュリティ上のリスクは多岐にわたりますが、中でも特に被害が多いのが不正アクセスです。世界的に情報セキュリティ対策が進められているにもかかわらず、情報漏えい事故全体における不正アクセスの割合は増加傾向にあります。中でも、ソーシャルエンジニアリングは不正アクセスのもっとも基本的な手段のひとつです。

今回はソーシャルエンジニアリングの手法や対策についてご紹介します。

情報セキュリティについて詳しく知りたい方はこちら

セキュリティ対策をする際に、情報漏えいのパターンやウイルスについて詳しく知っておくことで適切な対応をすることができます。以下の記事で詳しくご紹介していますので、ぜひ参考にしてみてください。

マルウェアの脅威や対策について知りたい方はこちら

情報漏えいの発生パターンと対策について詳しく知りたい方はこちら

誰もが被害に遭う可能性のあるソーシャルエンジニアリング

ソーシャルエンジニアリングは、ネットワークにアクセスするために必要なパスワードをはじめとするログイン情報などを、情報通信技術などを使わずに盗み取る手法です。

そのほとんどが、行動のミスや心理的な隙などを利用したアナログなものです。ソーシャルエンジニアリングにはいくつかのパターンがありますので、実例とともにその手法を具体的にご紹介します。

ショルダーハッキング

ソーシャルエンジニアリングの手法の中でも、もっともシンプルで基本的なもののひとつが「ショルダーハッキング」です。その名の通り、肩越しからPCなど端末をのぞき込み、パスワードなどの情報を盗みます。

実際に他の支社や関連会社の社員など、来客を装って悪意を持った人間がオフィス内に侵入してしまうケースもあります。オフィス内なので安全という心理的な隙を突いてショルダーハッキングが行われるのです。

オフィス内に不審な人物が入ってきたらすぐに気付きそうなものですが、侵入の手口は年々巧妙になっています。バイク便や宅配業者や、公的機関の担当者を装って堂々と入り込んでくるのです。そのため、ショルダーハッキングはアナログでシンプルな手法ながら被害は発生し続けています。

そのほかにも、業務上何気なく使用しているデバイスや無線LANから情報漏えいなどが発生するケースがあります。以下の記事で詳しくご紹介していますので、対策をするようにしてください。

企業で使用されるノートPC、スマホ、タブレットの情報セキュリティについて知りたい方はこちら

企業組織内で使われる無線LAN使用で起こりうる情報セキュリティ問題と、その対策について知りたい方はこちら

トラッシング

ゴミとして捨てられた書類などから情報を盗むのが「トラッシング」という手法です。実際に清掃員のふりをしてオフィス内に侵入して、ゴミとして捨てられた書類や記憶媒体などを盗み出してその情報からネットワーク侵入を図るのです。

USBメモリやSDカード、ハードディスクなどの記憶媒体はたとえデータを削除したとしても、元の情報を復元できる可能性があり、そこからサーバーや各端末などの設定情報が盗まれることもあります。

トラッシングと似た手法として、近年問題となりつつあるのが「メールハント」です。ポストに入っている郵便物をそのまま持ち去ることで、情報を盗むという手法になります。特にウェブサービスの請求書などにはログインIDといった重要な情報が含まれているケースも多いため注意が必要です。

サーバーやクラウドサービスにもセキュリティ対策は重要です。社内の情報を守るためにも、徹底した対策を行いましょう。以下の記事でご紹介していますので、ぜひ参考にしてみてください。

企業組織内でのサーバーのセキュリティ対策について知りたい方はこちら

クラウド型の対策について知りたい方はこちら

電話を利用したソーシャルエンジニアリング

昔から行われているソーシャルエンジニアリングの代表的な手法として、電話を使ったものが挙げられます。直接オフィスに侵入する必要もなく、電話番号さえわかれば簡単にターゲットに近づくことが可能なため、現在でも頻発しています。

具体的な手法としては、ターゲットのふりをして利用中のサービスの管理者に電話をし、パスワードなどの情報を聞き出す、またはパスワードの変更を依頼するといったものが挙げられます。また、管理者になりすましてターゲットに電話し、パスワードを確認するといったケースも少なくありません。

ソーシャルエンジニアリングで使われることの多いワード

上記の他にもソーシャルエンジニアリングにはいくつもの手法やパターンがあります。いつ、どのような形で仕掛けられるのかを予測するのが困難なのもソーシャルエンジニアリング対策の難しさでもあります。

中でも注意したいのが、緊急性を持たせるワードを用いた手法です。「至急確認をお願い致します」「重要」「漏えい確認」といった緊急性を持たせるワードが出てくると、焦りを感じてしまうものです。結果として、正常な判断ができない可能性が高まります。

ソーシャルエンジニアリングへの対策

上記の通り、ソーシャルエンジニアリングには多くのパターンがあり、アナログでシンプルな手法ながら被害は発生し続けています。

ここではソーシャルエンジニアリングへの対策をご紹介します。

ログイン情報やパスワードなどの情報取り扱いのルール化

ログイン情報やパスワードといった不正アクセスに使われる可能性のある情報取り扱いをルール化することで、さまざまな手法のソーシャルエンジニアリングを防止できます。

あらかじめ、電話では重要な情報を伝えないというルール作りや、本人確認の徹底はソーシャルエンジニアリング対策の基本です。

情報廃棄手順のルール化

トラッシングによる被害を防止するために重要なのが、情報廃棄手順のルール化です。書類などの紙媒体を廃棄する際には必ずシュレッダーにかける、記憶媒体のデータは確実に消去、または物理的破壊を行うといった手順をルール化して徹底することでゴミから情報を盗まれるリスクを軽減できます。

すべての情報媒体の所在をあらためて確認して管理を徹底することで、紛失を防げるのみでなく、万が一盗難などに遭った場合も早急な対策が可能です。

オフィス内での重要情報の取り扱いに注意

ログイン情報やパスワードなどは1日に何度も入力することになりますので「重要情報である」という意識が薄くなってしまいがちです。ましてやオフィスなどの慣れた環境であればつい油断してしまいます。その油断がショルダーハッキングなどの被害に遭う原因です。

たとえオフィス内であってもパスワードなどの情報を入力する際には周囲に注意することが大切です。

ログイン情報やパスワードなどの情報を忘れないようにメモ書きを机に置いたままにしているという方もいるようですが、これではパスワードの意味がありません。PCなどの端末を直接操作されてしまうこともありますので、たとえ短時間であっても席を離れる際にはスリープ状態にしてロックをかけるようにしましょう。

より万全なセキュリティを求めるのであれば生体認証や多要素認証システムを導入することをおすすめします。来客が多いオフィスで業務を行う場合や、個人情報を多く取り扱うのであれば導入を検討すべきです。

人への依存度が高いソーシャルエンジニアリング対策

ソーシャルエンジニアリングは攻撃手法が人を介したアナログなものだけに、対策も人への依存度が高くなります。

ルール作りも重要ですが、何よりもオフィス全体の意識を高めることが重要です。当たり前に取り扱っている情報の重要性を理解し、同時に常に攻撃される可能性があることを認識するための社内教育も欠かせません。

常に新しい手法が登場しているため、情報を収集して共有することも重要なソーシャルエンジニアリング対策です。

まとめ

不正アクセスやサイバー攻撃というと、高度な通信技術を用いたハッキングをイメージする方も多いかもしれません。しかし、人を介したアナログな手法であるソーシャルエンジニアリングによる被害も後を絶ちません。

今回ご紹介したポイントを意識しながら、社内全体で意識を高めて対策を進めていく必要があります。

ファイル共有ソフトやメールの使用など、何気なく業務上行っている作業にもセキュリティ対策をすることが重要です。以下の記事で詳しくご紹介していますので、ぜひご覧ください。

ファイル共有ソフトの危険性と対策について知りたい方はこちら

メールを使用する際の情報セキュリティ対策について知りたい方はこちら