心の隙間に攻撃するソーシャルエンジニアリングとフィッシング

勉強のきっかけになった問題

電子的な方法を用いないで、緊急事態を装って組織内部の人間からパスワードや機密情報のありかを不正に聞き出して入手する行為は,どれに分類されるか。

ア. ソーシャルエンジニアリング
イ. トロイの木馬
ウ. パスワードクラック
エ. 踏み台攻撃
平成17年春期問75 ソーシャルエンジニアリング|応用情報技術者試験.com

http://warau-new.jp/chara/images/chara_pose_moguro4.png
warau-new.jp

ソーシャル・エンジニアリングとは、心の隙間やうっかりミスにつけ込んで情報を盗むことです。

ソーシャル・ワークともいいます。

技術的な方法ではなく人の心理的な弱みに付け込んで、パスワードなどの秘密情報を不正に取得する方法の総称。
ソーシャルエンジニアリング|ITパスポート試験ドットコム

  • 例えば・・・
    • パスワードを入力するところを後ろから盗み見る
    • オフィスから出る書類のごみをあさって手がかりとなる個人情報の記されたメモを探し出す
    • ネットワークの利用者や顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す
    • 電話に出た子どもに対して、両親に関する個人情報を聞き出す
    • 緊急事態を装って組織内部の人間からパスワードや機密情報を 入手する
    • システム管理者などを装い,利用者に問い合わせてパスワードを取得する。
標的型攻撃メールといって、件名や本文にターゲットの業務に関係がありそうな内容を書いてメールするものもあるのです。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/img/ill05_01.jpg

標的型攻撃への対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

フィッシング(phishing)とは、フィッシングサイトへのリンクやURLを嘘メールに書いてアクセスさせる手法です。

ちまたでよく言う「フィッシング詐欺」です。
メールで個人情報を確認されたら要注意です。URL先では銀行のホームページに表示されているメニューから操作を始めたりして安易な入力はさけなきゃだめです。

金融機関 (銀行やクレジットカード会社) などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為です。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
www.antiphishing.jp

http://www.jabank.org/attention/phishing/images/img_01.gif
www.jabank.org

  • 例えば・・・
    • 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信される。
    • "本人情報の再確認が必要なので入力してください"という電子メールで示されたURLにアクセスし,個人情報を入力したところ,詐取された。
    • 電子メールを発信して受信者を誘導し,実在する会社などを装った偽の Web サイトにアクセスさせ,個人情報をだまし取る。
    • 電子メールを介して偽のWebサイトに誘導し,個人情報を盗み出す。