セキュリティ対策,誘導質問術Photo:PIXTA

情報漏洩を引き起こすのは、高度なサイバー攻撃やウイルス感染と思い込んでいないだろうか。実際は、古典的でアナログな、人間の心理的な隙や行動のミスを突く「ソーシャルエンジニアリング」こそ、多くの企業や個人が注意すべき情報漏洩の手法だ。情報セキュリティ大学院大学の内田勝也名誉教授が、いまだ後を絶たないソーシャルエンジニアリングの実態について解説する。

誘導質問、なりすまし、ゴミ箱あさり…
ソーシャルエンジニアリングの手法

 デジタル化が進む現在も、人間の心理的な弱みや行動のミスに付け込んで情報漏洩を引き起こす「ソーシャルエンジニアリング」が後を絶たない。このソーシャルエンジニアリングに定まった定義はないため、筆者は以下のように定義している。

人間の心理的な弱さを利用、また、他人になりすまし、必要な情報を収集(盗み見、盗取、ヒアリング)するもので、いくつかの方法を組み合わせる、また複数の人や方法、場所等で情報収集を行うこともある。ソーシャルエンジニアリングの考えは、犯罪に利用されるだけでなく、医者、弁護士、コンサルタント等、多くの職種の人が利用する。

 ソーシャルエンジニアリングには、以下のような方法がある。

(1)誘導質問術:対象者(被害者)から、内容を直接聞くことなく情報を収集し、特定の目的、容易に入手できない情報を対象者に疑いを抱かせずに収集する。対面、電話、インターネット等で行われる。

(2)なりすまし:他人になりすまし、必要な情報を収集する。電話利用が多いが、電子メールや手紙、FAX等の利用もある。最近の標的型攻撃やフィッシングの多くは電子メールを利用。

(3)ゴミ箱あさり:廃棄ゴミから,目的情報を取得する。ハードディスク等の磁気媒体やCD、DVD、マニュアル、報告書、重要書類等を回収し、有効情報を得る。

(4)サイト侵入:清掃員、電気・電話工事人、警備員等になりすまし、オフィスや工場等に侵入。

(5)のぞき見:机上やコンピュータ上に表示されているものをのぞき見し、情報収集を行う。

(6)その他:メーリングリスト等の質問を利用し、質問者(質問社)の技術レベル、利用システム、ソフトウェア、セキュリティ等の情報を収集する

 このようにソーシャルエンジニアリングにもさまざまな手法があるが、本稿では「誘導質問術」について詳しく解説していきたい。