ソーシャルエンジニアリングとは | セキュリティ用語の意味・手口・対策

皆さんは、「ソーシャルエンジニアリング」という言葉をご存じでしょうか。「ソーシャル」とついている、普段皆さんが使っているSNSなど良いものを想像するかもしれません。

しかし、最近話題になっているソーシャルエンジニアリングとは、悪意のある者が企業の機密情報を盗もうとする不正アクセスの手段のことを指します。

今回は、このソーシャルエンジニアリングの手口と対策を中心に解説します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、企業の社内システムに侵入するための情報を、物理的な手段で入手する方法です。具体的には企業の建屋や構内に侵入し、そこで情報を盗み見るなどをします。

ここで得た情報は、標的型メール攻撃を行う際などに利用されます。たとえば、「ソーシャルエンジニアリングで手に入れた社員名を名乗って偽装メールを送る」といった手法が挙げられます。

標的型攻撃メールについてはこちらから。

ソーシャルエンジニアリングの主な手口

ソーシャルエンジニアリングの手口は、大きく分けて3つあります。いずれも物理的手段で、しかも「こんな方法で！」という意外なものが多いです。しかし、実際に入手できていることを踏まえると、決して無視することはできません。

ソーシャルエンジニアリングを防ぐには、まずその手口を理解することが必要です。しっかりと押さえておきましょう。

ショルダハッキング

ショルダハッキングとは、PCの背後から、システムのIDやパスワードなど重要な情報を盗み見ることです。普段、気を使わないことがないかもしれませんが、実は皆さんの後ろから見られているかもしれません。

また、PCにポストイットを貼り付けている場合、その情報も盗まれている可能性もあります。このように、PC画面やその周辺からデータが流出することがあるのです。

トラッシング

外部から社内システムに侵入する場合、事前に情報を集める際にトラッシングが行われることが多いです。具体的には、ゴミ箱に捨てられた書類やPCの記憶媒体からデータを盗む方法です。

「記憶媒体からデータが盗まれるのは意外」「データはきちんと削除しているから大丈夫」と思うかもしれませんが、データ復元ソフトなどを使うと、簡単に抜き取ることができるのです。

そこからサーバーやルーターの設定情報や、ネットワーク構成図、IPアドレスやユーザー名などが抜き取られているかもしれません。

なりすまし

電話を利用したなりすましも、ソーシャルエンジニアリングの代表的な手法の一つです。社員の氏名などの情報を入手。そして。そのユーザーのふりをしてネットワーク管理者に連絡し、パスワードを聞き出すなどをします。また、管理者の情報を入手したら、逆にユーザー側にID、パスワードの情報を確認することもあります。古典的な方法ですが、実際に行われている手口です。

ソーシャルエンジニアリングの対策方法

先ほど挙げた「ショルダハッキング」「トラッシング」「なりすまし 」の3つソーシャルエンジニアリングへの対策方法を解説します。物理的な手段を用いて行われるため、基本的には物理的な手段で対抗することになります。すでに実施されている場合は、その運用をより徹底します。

けっして難しい方法ではなく、社員の意識レベルが上がれば、自然とできるようになるものがほとんどです。

従業員に身分証を携帯させる

入退室管理を徹底するために、社員証の携行を進めるのは良い対策です。建屋や構内に入る際に、台帳記入や社員証を都度確認できる仕組みを導入することで、ソーシャルエンジニアリング目的の侵入者をブロックすることができます。また、オフィスの施錠を誰が行ったかなど管理できるとセキュリティレベルが上がります。

出入り口の制限・監視を行う

出入り口の制限・監視を徹底するために、認証システムを導入するとよいでしょう。

認証システムも、顔認証や指紋認証などさまざまなタイプが出ています。設置についても、一昔前のものに比べれば、手間がかからなくなっているものがほとんどです。

また、監視カメラを設置すると、出入り口の状況を24時間監視することができ、不審者の有無を判断できます。

入退室の管理を管理できる電子錠についてはこちらから。

資料を破棄する際は処理を行う

トラッシングを防止するために、資料や記憶媒体の廃棄方法を徹底することもソーシャルエンジニアリング対策になります。

たとえば、個人情報が記載された資料などは、必ずシュレッダーにかけて廃棄する。記憶媒体であれば、廃棄する前にデータ抹消ソフトを使って、データを完全削除するか、廃棄専門業者に任せるなど考えられます。

電話でのやり取りではパスワードなどの重要な情報は教えない

電話を通じたソーシャルエンジニアリングもしっかり対策したいところです。

基本的には、電話対応の運用ルールを規定して、徹底することに尽きます。機密情報に当たるIDやパスワードは、電話では絶対に教えないようにしましょう。本人になりすましている可能性がある場合は、本人確認を行った上で、折り返し連絡するようにしましょう。

デスクトップまわりにパスワードなどを書いたメモを貼らない

オフィスのデスクを綺麗にしておくことも、ソーシャルエンジニアリング対策につながります。いわゆるクリーンデスクと呼ばれるもので、机の上に個人情報を特定できるような資料や名刺などをおかないようにします。これによって、デスクやパソコンから個人情報を流出させること防ぐことができます。

また、パソコンの画面に、覗き見防止フィルターをつけると、画面上の盗み見を防ぐことができます。こちらも、外出先で使うノートPCなどには用意しておきたいところです。

セキュリティ対策は、ソーシャルエンジニアリング対策も含め万全に！

ここまで、ソーシャルエンジニアリングの手口と対策についてお伝えしてきました。

企業も監視カメラや認証システムの導入を進めることは必要です。しかし、基本的には、侵入者の物理的な手段に対抗するのは、企業の運用や社員の意識向上などの物理的手段になります。

機密情報がどのように漏れるか、社内で周知徹底し、セキュリティに対する意識レベルを上げましょう。

このほかにも、セキュリティ対策に役立つサービス情報もご紹介しています。次の記事もぜひお役立てください！

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}