ITパスポート試験 用語辞典
ソーシャルエンジニアリング
【Social Engineering】
【Social Engineering】
技術的な方法ではなく人の心理的な弱みに付け込んで、パスワードなどの秘密情報を不正に取得する方法の総称。
ユーザになりすまして管理者に電話しパスワードを聞き出したり、パソコンの操作画面を盗み見してパスワードを取得する行為などがこれに該当する。
ユーザになりすまして管理者に電話しパスワードを聞き出したり、パソコンの操作画面を盗み見してパスワードを取得する行為などがこれに該当する。
(Wikipedia ソーシャル・エンジニアリングより)
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(Social engineering : 社会工学)。
なお、今日喧しいフィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。
概要
元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング(ソーシャルハック)、ソーシャルクラッキングとも言う。
ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。
- 重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
- 現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する()。
- ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。
- IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
- 特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。
カード詐欺
コンピュータのパスワードを入手するだけでなく、クレジットカードやキャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口にも用いられる。電話で連絡を取り、
- 警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す
- 信販会社を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す
暗証番号は、カードの会社・金融機関等が用意した端末以外に入力するべきではない。カードの会社等の担当者ですら、聞く事はあり得ないと言ってよい(暗号化されており解析不可能。正当な顧客からの問い合わせに対しても再登録するよう指示がされる)。
また、直接暗証番号を尋ねずに、生年月日等の個人情報を尋ねて預金の不正引出に及んだ例もある。これは生年月日を暗証番号として設定していた事例である。
手口の一例
個人情報を聞き出す為にも用いられる。電話で連絡を取り、
- 学校の同級生の親族をや警察を名乗り、本人や他の同級生の住所や電話番号を聞き出す
- 宅配便を名乗り、住所が良く判らないという口実で正確な住所を聞き出す
- 興信所を名乗り、本人に縁談があるという口実で素行などを聞き出す
- 警察や公安委員会、裁判所を名乗り、住所や電話番号、家族構成、勤務先、通学先をなどを聞き出す
出題例
攻撃者が,システムの利用者になりすましてシステム管理者に電話をかけ,パスワードを忘れたと言ってパスワードを初期化してもらい,システムに侵入した。このような行為を何というか。
- DoS攻撃
- 総当たり攻撃
- ソーシャルエンジニアリング
- バックドア
[出典]ITパスポート H22年春期 問87 解説
正解
ウ
「情報セキュリティ」に属する用語
- 盗み見
- クラッキング
- ソーシャルエンジニアリング
- ビジネスメール詐欺
- ダークウェブ
- マルウェア
- ボット
- スパイウェア
- ランサムウェア
- ファイルレスマルウェア
- ワーム
- トロイの木馬
- RAT
- マクロウイルス
- ガンブラー
- キーロガー
- バックドア
- ファイル交換ソフトウェア
- セキュリティホール
- シャドーIT
- 不正のトライアングル
- 辞書攻撃
- 総当たり攻撃
- パスワードリスト攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- 中間者攻撃
- MITB攻撃
- 第三者中継
- IPスプーフィング
- キャッシュポイズニング
- セッションハイジャック
- DoS攻撃
- DDoS攻撃
- クリプトジャッキング
- 標的型攻撃
- 水飲み場型攻撃
- やり取り型攻撃
- フィッシング
- ワンクリック詐欺
- ゼロデイ攻撃
- プロンプトインジェクション攻撃
- 敵対的サンプル
- ポートスキャン
- ウォードライビング
- サラミ法
- バッファオーバフロー攻撃
「セキュリティ」の他の分野
「テクノロジ系」の他のカテゴリ
- 基礎理論(23)
- アルゴリズムとプログラミング(27)
- コンピュータ構成要素(32)
- システム構成要素(29)
- ソフトウェア(17)
- ハードウェア(14)
- 情報デザイン(21)
- 情報メディア(28)
- データベース(19)
- ネットワーク(71)
- セキュリティ(121)
このページのWikipediaよりの記事は、ウィキペディアの「ソーシャル・エンジニアリング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。