ソーシャル・エンジニアリングにご用心

コンピューターが登場する前のスパイ映画であれば、情報を盗む手段は、重要な書類を手に入れたり、人の会話を盗聴したり、と言うような人間の感覚による方法が主に使われていました。

現在では、重要な情報を保存しているコンピューターの中に、ネットワーク経由で侵入したり、IDとパスワードを、不正なプログラムによって解析したりする方法に変わりました。

しかし、最も古典的な手段によって、IDとパスワードを入手する方法が、現在でも、存在しています。それが、一般的には「ソーシャル・エンジニアリング」と呼ばれているものです。

 

ソーシャル・エンジニアリングとは?

ソーシャル・エンジニアリングとは、コンピューターや、ネットワークを利用しないで、ログインIDと、パスワードを、不正に取得する手法です。

典型的な方法としては、ログインIDと、パスワードが表示されている書類や、入力中のパソコン画面の後ろや、横に立って、必要な情報を盗み見るものです。

金融機関のATMで、前の人のキャッシュカードのパスワードを、その指先の動きから類推して暗記するのが典型例です。

また、電話によって、関係者を装いながら、必要な情報を、聞き出すこともあります。

会社の上司や、システム管理者の名前を騙ることによって、会社で利用しているパソコンなどのログイン情報を巧みに聞き出す手口などです。

他にも、パソコンになれていない高齢者が、ログイン情報を紙に書いたものを、分かりやすい場所に貼り付けている場合に、それを暗記する方法などもあり得ます。

また、パスワードを指定したものへ変更させる、と言う手法も過去にあったようです。

特に、年配の人ほどこのような手口にかかりやすい傾向があります。それは「振り込め詐欺」と類似した手法であることからも理解できるところです。

その他にも、企業から出たゴミの中を調べてログインに関する情報が混ざっていないかを、確認する方法なども古典的ですが有効な方法です。

 

ソーシャル・エンジニアリングの対策は?

仮に、コンピューターと、それが接続されているネットワークのセキュリティ対策が、完全であっても、それを利用する人に対する教育が完全でなければ、このような原始的な手法の詐欺に容易に引っかかってしまう可能性があります。

ログイン情報の重要性と、その管理の方法を、社員全てに認識してもらう必要がありそうです。しかし、それにはある程度の時間もかかりますし定期的に再確認する必要があります。

また、定期的にパスワードを変更することによって、簡単に記憶できないような環境にすることも重要です。

頻繁にパスワードを変更して、社外への持ち出しを禁止していれば、それを記憶する時間的余裕がありません。

これならば、自宅にかかってきた電話で、自称上司を名乗る人に、ログインパスワードを教えることもできません。

多少の不便を感じるかも知れませんが、パソコンへのログインが必要になったときにだけ、システム管理者から、更新した新しいパスワードを伝えるような対応も検討してはどうでしょうか?

また、スマートフォンなどを利用して、本人の認証をしなければ、ログインできないようなシステムを導入する方法もあります。

 

ソーシャル・エンジニアリングは無くならない脅威

人間の心のスキをついてくる、このような脅威は、これからも、無くなることはないでしょう。

逆に、増加することさえ、予想されます。しかし、いくらでも対応する方法は、あるのではないでしょうか?

人間には、誰でも、わずかなスキがあることを前提として、企業で利用する全てのシステムを、運用することによって、大部分の脅威には、十分対抗できるのではないでしょうか?

そもそも、パスワード自体を、紙に記入したり、声に出したりできる形にする必要はありません。

指紋や、声紋、その他のユニークなものによって、二重に、パスワードを設定するなどの方法によって、簡単には盗むことができないパスワードを作成することが可能です。

そのような手段を、上手に利用すれば、セキュリティ対策のレベルを、更に向上することができるだけではありません。

社外的にも、企業としてのセキュリティに対する意識が、非常に高い、との評価を受けることができます。

一石二鳥の結果、となることも、考えられるのであれば、多少の不満が出たとしても、ぜひ実行すべき対策では、ないでしょうか?