ソーシャルエンジニアリング（そーしゃるえんじにありんぐ）

ソーシャルエンジニアリングとは

ソーシャルエンジニアリング（SE）は、コンピュータセキュリティにおける攻撃手法の一つであり、技術的なハッキングではなく、人間の心理的な弱点や行動パターンを利用して、機密情報を詐取したり、システムへの不正アクセスを可能にしたりする行為を指します。攻撃者は、信頼を得るために様々な策略を用い、被害者を騙して情報を開示させます。

手法

ソーシャルエンジニアリングには、以下のような様々な手法が存在します。

• フィッシング: 偽の電子メールやウェブサイトを作成し、ユーザー名、パスワード、クレジットカード情報などの個人情報を詐取する。
• プリテキシング: 信頼できる人物や組織を装い、電話や対面で情報を聞き出す。
• ベイト: 魅力的な情報や特典を提示し、ユーザーを悪意のあるウェブサイトに誘導する。
• キーストローク: 悪意のあるソフトウェアをインストールし、キーボード入力を記録する。
• ショルダーサーフィン: 他人の画面を覗き見して、パスワードや個人情報を盗む。
• テールゲーティング: 許可されていない人物を物理的なセキュリティエリアに侵入させる。

歴史

ソーシャルエンジニアリングという言葉は、1990年代後半にコンピュータセキュリティの専門家によって広まりました。初期の頃は、主に電話や対面での詐欺が主流でしたが、インターネットの普及とともに、フィッシングなどのオンラインでの手法が主流となっています。

対策

ソーシャルエンジニアリング攻撃から身を守るためには、以下の対策が有効です。

• 情報セキュリティに関する教育: 従業員や一般ユーザーに対して、ソーシャルエンジニアリングの手法や対策に関する教育を行う。
• 不審なメールやウェブサイトに注意: 見慣れない送信元からのメールや、不審なウェブサイトにはアクセスしない。
• 個人情報の保護: パスワードを複雑なものにし、定期的に変更する。個人情報を安易に開示しない。
• セキュリティソフトウェアの導入: ウイルス対策ソフトやファイアウォールなどのセキュリティソフトウェアを導入する。
• 多要素認証の利用: ログイン時にパスワードに加えて、別の認証要素（例：SMS認証、生体認証）を要求する。