やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ソーシャルエンジニアリング

 ソーシャルエンジニアリングとは、ソーシャル(社会的)な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。

 エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。

 社会的な手段とは、コンピュータやネットワークの管理者や利用者から、盗み聞きや盗み見、話術による聞き出しなどの手段を用いることです。

 ソーシャルエンジニアリングの例としては、以下のようなものがあります。

  • パスワードを入力するところを後ろから盗み見る
  • 本人になりすまして「パスワードを忘れてしまったので教えてください」などという電話をかけて、セキュリティ管理者からパスワードを聞き出す
  • オフィスのゴミ箱や路上のゴミ置き場などをあさって、廃棄された紙ゴミを収集して重要情報を盗む 

 組織内部での機密情報の管理ルールや個人確認の方法が不十分だったりすると、この手法によって容易に機密情報が漏えいしてしまいます。

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191118042008p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問21
オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。

 これが正解です。

 この方法はソーシャルエンジニアリングの手法の一つで「スキャベンジング(ゴミあさり)」といいます。

イ キー入力を記録するソフトウェアを、不特定多数が利用するPCで動作させて、利用者IDやパスワードを窃取する。

 これはキーロガーの説明です。

 マルウェアは用いた技術的な方法になります。

ウ 日本人の名前や日本語の単語が登録された辞書を用意して、プログラムによってパスワードを解読する。

 これは辞書攻撃の説明です。

 プログラムを用いた技術的な方法になります。

www.aolaniengineer.com

エ 利用者IDとパスワードの対応リストを用いて、プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。

 これはパスワードリスト攻撃の説明です。

 プログラムを用いた技術的な方法になります。