今月のセキュリティ ヒント ‐ 2005 年 1 月
アクセスするのは実に簡単に思える : ソーシャル エンジニアリング
ハッカーは、人々を騙してそのアカウント名やパスワードなどの情報を聞き取る技術のことを "ソーシャル エンジニアリング" と呼びます。これらの情報があれば、ハッカーはシステムやネットワークにアクセスできます。このハッキング手法では、技術的スキルよりも、社交的スキルが重要となります。というのも、こうしたハッカーはソフトウェアやハードウェアの脆弱性よりも、人間性の弱点をつくためです。
優秀なソーシャル エンジニアは熟練した俳優でもあります。ときには魅力的に、またときには威圧的に振る舞って、ネットワーク ユーザーが機密情報を明かすように仕向けます。一般的な策略として、組織の IT スタッフやその幹部、同僚、外部組織の一員 (コンサルタントや電話会社の従業員など) になりすまします。
BBC News の調査によると、コンピュータで作業している 70% を超える人々が、身元情報が漏洩する可能性があるのに、パスワード情報を明かそうとしました。この調査の詳細については、BBC News の記事「Passwords revealed by sweet deal」 (英語) を参照してください。
Kevin Mitnick は、1980 年代から 1990 年代の最も有名なハッカーの 1 人でしたが、電話システムやコンピュータ システムに侵入した罪で 5 年間服役しました。現在は、コンピュータ セキュリティに関して講義や執筆活動を行っています。彼によると、ソーシャル エンジニアリングは最も危険なハッキング技術の 1 つだといいます。その理由は、世界最高の技術をもってしても防ぐことができないためです。人的要因がコンピュータ セキュリティに対する脅威の 1 つであることは、見落とされがちです。
ソーシャル エンジニアに対する防御
| • | アカウント名とパスワード、コンピュータ名、IP アドレス、従業員 ID 番号など、悪用される可能性のある情報を聞かれた場合は、疑う必要があります。 |
| • | 特に、相手が魅力的に、または威圧的に話しかけてきた場合は気を付けてください。また、IT 部門にその相手を照会します。相手が IT 部門の一員であると名乗った場合、確認のために一度電話を切ってからかけ直すか、上司に確認します。組織の管理者や役員を名乗っても、あなたがその人の名前、声、または顔を知らない場合は、ネットワークのセキュリティ保護を懸念していること、および機密情報を教える前に相手の身元を確認する必要があることを説明します。 |
| • | 取引先の銀行、ISP、または組織を名乗る相手から、アカウント情報を要求する電子メールを受け取った場合、電子メールや Web ページ経由で応答しないようにしてください。代わりに、その組織に電話して、その電子メールによる要求が正規のものかどうかを確認します (受け取ったメッセージに記載されている電話番号は使用せず、電話番号は別に調べます)。多くの場合、このような通信に電子メールを使用する組織はありません。組織の Web サイトにアクセスするとき、電子メール メッセージに記載されているリンクはクリックしないでください。代わりに、組織のホーム ページ URL を手動で入力し、ホーム ページからアカウントのログオン サイトに移動します。 |
その他の今月のセキュリティ ヒントも参照してください。
