コピー完了

記事TOP

ソーシャルエンジニアリングとは | セキュリティ用語の意味・手口・対策

最終更新日:
公開日:
ソーシャルエンジニアリングとは、企業の機密情報を物理的な手段で不正に入手する方法です。古典的な方法もありますが、企業としては徹底した対策を行いたいところです。この記事では、ソーシャルエンジニアリングの手口と対策を紹介します。

皆さんは、「ソーシャルエンジニアリング」という言葉をご存じでしょうか。「ソーシャル」とついている、普段皆さんが使っているSNSなど良いものを想像するかもしれません。

しかし、最近話題になっているソーシャルエンジニアリングとは、悪意のある者が企業の機密情報を盗もうとする不正アクセスの手段のことを指します。

今回は、このソーシャルエンジニアリングの手口と対策を中心に解説します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、企業の社内システムに侵入するための情報を、物理的な手段で入手する方法です。具体的には企業の建屋や構内に侵入し、そこで情報を盗み見るなどをします。

ここで得た情報は、標的型メール攻撃を行う際などに利用されます。たとえば、「ソーシャルエンジニアリングで手に入れた社員名を名乗って偽装メールを送る」といった手法が挙げられます。

標的型攻撃メールについてはこちらから。

ソーシャルエンジニアリングの主な手口

ソーシャルエンジニアリングの手口は、大きく分けて3つあります。いずれも物理的手段で、しかも「こんな方法で!」という意外なものが多いです。しかし、実際に入手できていることを踏まえると、決して無視することはできません。

ソーシャルエンジニアリングを防ぐには、まずその手口を理解することが必要です。しっかりと押さえておきましょう。

ショルダハッキング

ショルダハッキングとは、PCの背後から、システムのIDやパスワードなど重要な情報を盗み見ることです。普段、気を使わないことがないかもしれませんが、実は皆さんの後ろから見られているかもしれません。

また、PCにポストイットを貼り付けている場合、その情報も盗まれている可能性もあります。このように、PC画面やその周辺からデータが流出することがあるのです。

トラッシング

外部から社内システムに侵入する場合、事前に情報を集める際にトラッシングが行われることが多いです。具体的には、ゴミ箱に捨てられた書類やPCの記憶媒体からデータを盗む方法です。

「記憶媒体からデータが盗まれるのは意外」「データはきちんと削除しているから大丈夫」と思うかもしれませんが、データ復元ソフトなどを使うと、簡単に抜き取ることができるのです。

そこからサーバーやルーターの設定情報や、ネットワーク構成図、IPアドレスやユーザー名などが抜き取られているかもしれません。

なりすまし

電話を利用したなりすましも、ソーシャルエンジニアリングの代表的な手法の一つです。社員の氏名などの情報を入手。そして。そのユーザーのふりをしてネットワーク管理者に連絡し、パスワードを聞き出すなどをします。また、管理者の情報を入手したら、逆にユーザー側にID、パスワードの情報を確認することもあります。古典的な方法ですが、実際に行われている手口です。

ソーシャルエンジニアリングの対策方法

先ほど挙げた「ショルダハッキング」「トラッシング」「なりすまし 」の3つソーシャルエンジニアリングへの対策方法を解説します。物理的な手段を用いて行われるため、基本的には物理的な手段で対抗することになります。すでに実施されている場合は、その運用をより徹底します。

けっして難しい方法ではなく、社員の意識レベルが上がれば、自然とできるようになるものがほとんどです。

従業員に身分証を携帯させる

入退室管理を徹底するために、社員証の携行を進めるのは良い対策です。建屋や構内に入る際に、台帳記入や社員証を都度確認できる仕組みを導入することで、ソーシャルエンジニアリング目的の侵入者をブロックすることができます。また、オフィスの施錠を誰が行ったかなど管理できるとセキュリティレベルが上がります。

出入り口の制限・監視を行う

出入り口の制限・監視を徹底するために、認証システムを導入するとよいでしょう。

認証システムも、顔認証や指紋認証などさまざまなタイプが出ています。設置についても、一昔前のものに比べれば、手間がかからなくなっているものがほとんどです。

また、監視カメラを設置すると、出入り口の状況を24時間監視することができ、不審者の有無を判断できます。

入退室の管理を管理できる電子錠についてはこちらから。

資料を破棄する際は処理を行う

トラッシングを防止するために、資料や記憶媒体の廃棄方法を徹底することもソーシャルエンジニアリング対策になります。

たとえば、個人情報が記載された資料などは、必ずシュレッダーにかけて廃棄する。記憶媒体であれば、廃棄する前にデータ抹消ソフトを使って、データを完全削除するか、廃棄専門業者に任せるなど考えられます。

電話でのやり取りではパスワードなどの重要な情報は教えない

電話を通じたソーシャルエンジニアリングもしっかり対策したいところです。

基本的には、電話対応の運用ルールを規定して、徹底することに尽きます。機密情報に当たるIDやパスワードは、電話では絶対に教えないようにしましょう。本人になりすましている可能性がある場合は、本人確認を行った上で、折り返し連絡するようにしましょう。

デスクトップまわりにパスワードなどを書いたメモを貼らない

オフィスのデスクを綺麗にしておくことも、ソーシャルエンジニアリング対策につながります。いわゆるクリーンデスクと呼ばれるもので、机の上に個人情報を特定できるような資料や名刺などをおかないようにします。これによって、デスクやパソコンから個人情報を流出させること防ぐことができます。

また、パソコンの画面に、覗き見防止フィルターをつけると、画面上の盗み見を防ぐことができます。こちらも、外出先で使うノートPCなどには用意しておきたいところです。

セキュリティ対策は、ソーシャルエンジニアリング対策も含め万全に!

ここまで、ソーシャルエンジニアリングの手口と対策についてお伝えしてきました。

企業も監視カメラや認証システムの導入を進めることは必要です。しかし、基本的には、侵入者の物理的な手段に対抗するのは、企業の運用や社員の意識向上などの物理的手段になります。

機密情報がどのように漏れるか、社内で周知徹底し、セキュリティに対する意識レベルを上げましょう。

このほかにも、セキュリティ対策に役立つサービス情報もご紹介しています。次の記事もぜひお役立てください!

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

ウイルス対策・不正アクセス対策
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
ウイルス対策・不正アクセス対策の最近更新された記事
スマホウイルス対策おすすめアプリ・ソフト | Android対応 - 無料あり
[PR]急務! LanScopeシリーズでテレワーク環境におけるサイバーセキュリティと業務生産性の両立を実現
ノートン製品が見つからないときの対処法 | Windows 10アップグレード後の不具合
コンピューターウイルスに感染時の症状とは | PC・ブラウザ上でのトラブル
ルートキットの種類とは | 感染経路・特徴・対策は?
マルウェアの駆除方法とは | 専用ソフトで感染をスマートに対処しよう
コンピューターウイルスの感染経路とは?注意すべきポイントまで徹底解説
マルウェア対策を徹底解説!スマートフォン・対策ソフトなど
タブレット対応ウイルス対策セキュリティソフト「AntiVirus Free」12の機能を無料で使い倒す方法
WordPress改ざんチェック | 被害・方法 - あなたのサイトは大丈夫?