自分を守る

ソーシャル エンジニアリングとは

公開日: 2007年1月16日
ソーシャル エンジニアリング

オンラインの犯罪者はコンピュータにアクセスするために高度なテクノロジを使用しますが、もっと単純で巧妙な手段を用いることもあります。 それがソーシャル エンジニアリングです。

ソーシャル エンジニアリングは、犯罪者がコンピュータにアクセスするための手段の 1 つです。 通常、ソーシャル エンジニアリングの目的は、密かにスパイウェアやその他の悪意のあるソフトウェアをインストールすることか、またはユーザーをだましてパスワードやその他の機密性の高い財務情報や個人情報を引き出すことです。

ソフトウェアの弱点よりも人間の性格的弱点を利用するほうが簡単だと考えるオンライン犯罪者もいます。

ソーシャル エンジニアリングの種類
認識しておく必要があるソーシャル エンジニアリングには、次のようないくつかの種類があります。

フィッシング

スピア フィッシング

デマ メール

取引の相手と理由がわかっている場合を除き、電子メールやオンラインで個人情報を明かさないでください。 また、セキュリティ保護された環境にあることを確認してください。 これこそ、あらゆる種類の攻撃を避けるための鍵です。

フィッシング : 詐欺目的の電子メール メッセージと Web サイト
最も一般的なソーシャル エンジニアリングが、フィッシング詐欺です。 フィッシング詐欺では、偽のメールや Web サイトを利用してユーザーをだまし、個人情報を引き出そうとします。

たとえば、銀行などの金融機関から、口座情報の更新を依頼する電子メール メッセージが届いたとします。 その電子メール メッセージには正当なサイトにアクセスするように見えるリンクがありますが、実際には偽の "なりすまし" Web サイトにアクセスします。

ログイン情報、パスワード、またはその他の機密情報を入力すると、犯罪者はそのサイトから身元情報を盗み出すことができます。

フィッシング メールには、スペルミス、文法の誤り、脅すような表現、誇大な表現などが見られる場合があります。 フィッシング詐欺の詳細については、「フィッシング詐欺とは」を参照してください。

既に被害に遭っていると考えられる場合は、「フィッシング詐欺に返信してしまった場合の対処方法」を参照してください。
フィッシングから身を守るには、フィッシング詐欺検出機能を試してみてください。

スピア フィッシング : 知人から来たように思わせる的を絞った攻撃
スピア フィッシングは標的を絞った電子メール詐欺ですが、通常はビジネス環境で見られます。

スピア フィッシング詐欺師は、特定の企業、政府機関、組織、またはグループの従業員またはメンバ全員に、正規のように見える電子メール メッセージを送信します。

このメッセージは、雇用主または人事部や IT 部門の責任者など、社内の全員に電子メール メッセージを送信する可能性のある社内の人から送信されてきたように見えます。 メッセージの中でユーザー名かパスワードを教えるように要請している場合もあれば、トロイの木馬やウイルスなど悪意のあるソフトウェアが含まれている場合もあります。

スピア フィッシングはフィッシングよりも高度なソーシャル エンジニアリングですが、だまされないための方法は同じです。

詳細については、「スピア フィッシングとは」を参照してください。 トロイの木馬やウイルスへの感染を防止するには、Windows Live OneCare などのウイルス対策ソフトウェアを使用してください。

デマ メール : 儲け話にご用心
デマ メールには、外国 (ナイジェリアが多い) から金銭的利益を得るための援助を求めてくる詐欺から、宝くじに当選したという通知まで、さまざまな形があります。

共通している点は、わずかな努力で、またはまったく何もせずに多額の金銭を手に入れることができると約束していることです。

詐欺師は相手をだまして送金させようとするか、金銭または身元情報、あるいはその両方を盗むのに使用できる財務情報を引き出そうとします。

詳細については、「デマ メールにだまされない方法」および「You have not won the Microsoft Lottery」(英語) を参照してください。

また、インスタント メッセージ (IM) で詐欺メッセージを受信する場合もあります。 詳細については、「インスタント メッセージを安全に使用するための 10 のヒント」を参照してください。

テクノロジを活用して身を守る方法

防御の第 1 段階として、コンピュータをセキュリティ保護します。 詳細については、「コンピュータを守るための 4 つのステップ」を参照してください。

ソーシャル エンジニアリングの手口を見抜く方法を知るのが次のステップです。新しい Windows Vista オペレーティング システムは、この点でユーザーをさらにサポートします。

Windows Vista で利用できる Internet Explorer 7 には、サイトをスキャンして、有害なフィッシング サイトの可能性があればユーザーに通知するフィッシング詐欺検出機能が組み込まれています。

Windows Vista の保護者による制限機能では、保護者が子供の利用を制限して、子供が不要なソフトウェアをダウンロードできないようにすることができます。

Windows Defender を使用すると、ソーシャル エンジニアリング詐欺の一部を成すスパイウェアやその他の悪意のあるソフトウェアをブロックすることができます。 Windows Defender は、Windows Vista に搭載されています。 Windows XP SP2 を使用している場合、無償で Windows Defender をダウンロードできます。

Windows Vista に組み込まれたユーザー アカウント制御を利用すると、潜在的に危険なプログラムを実行する前にユーザーの許可が求められます。 そのため、ソーシャル エンジニアリングで遭遇する可能性があるウイルス、スパイウェア、およびその他の脅威の影響を軽減できます。


**
関連リンク
フィッシング詐欺検出機能 : オンライン詐欺からの保護
Windows XP SP2 用の Windows Defender
Windows Vista 用の Windows Defender
内部関係者をソーシャル エンジニアリングの脅威から保護する方法
**