第42回 ソーシャルエンジニアリングにご用心
セキュリティー最大の弱点は「人間」
サイバーセキュリティーや情報セキュリティーといえば、暗号化やファイアウォール、強力なパスワードなどの技術的な対策を思い浮かべる方が多いだろう。しかし多くの場合、これらのセキュリティー対策は、プロセスの最も弱い部分を攻撃することで突破されてしまう。その部分とは、ずばり「人間」だ。
「ソーシャルエンジニアリング」は、人間を心理操作して、機密情報を提供させたり、攻撃者にアクセスを許したりするほか、マルウェアをインストールさせたり、そのほかのミスを誘う手法のこと。「古典的」な方法は、IT サービス業者を装って電話でパスワードを聞き出すというものだ。
最近の例では、今年の夏、高度なアクセス権限を持つツイッター社員を故意に狙うことで、米国の多くの著名人のツイッターアカウントが乗っ取られたという事件が挙げられる。あるいは、「モグラ(潜入者)」や外部サービス事業者を使って、会社内で強力なアクセス権限を取得させ、産業スパイをさせる目的でもソーシャルエンジニアリングが利用されることもある。
標的になっていないかどうかを見抜くには?
具体的にはどんなことに気を付けたら良いのだろうか。例えば、右記の兆候が見られる場合には、ソーシャルエンジニアリングの標的になってしまっている可能性もあるため、十分に注意が必要だ。
1. 時間に追われている
パスワードを緊急に変更しなければ、何か大変なことが起こると言われている2. 例外的な状況である
新型コロナウイルス感染拡大防止のために在宅勤務を強いられた社員がおり、そのために現場の誰かに何かの処理を任せなければならない状況にある3. 脅迫されている
不都合な写真や動画があり、すぐに返事をしなければ公開すると脅されているいずれの場合も平常心を保ち、深呼吸をして、本当に相手の言うことが正しいのかどうか、よく考えてみよう。また、同僚や上司、ITの専門家に意見を聞くことも大変有効な手段だ。企業においては、このような状況を想定し、社員に対処法を覚え込ませるために、定期的にトレーニングを実施することをおすすめする。
ただし、ソーシャルエンジニアリングは大抵、無視すればそれ以上の被害が出ることはないため、その点は救いといえるかもしれない。
少しでも怪しい兆候が見られたら、まずは立ち止まってみよう