ソーシャル・エンジニアリングを警戒してください！|セキュリティ|ブログ|Computerworld

読者の皆様
お待たせしました。

オフィスでいつも飲んでいる炭酸水が品切れで、調子がでない蔵本です。

こちらは、オフィス近くの「やまや」さんのがめ煮です！

しかも明太子、高菜食べ放題という、個人的にはもうベストなお店です。
近所へお越しの際は是非！

さて、今回のお題である「ソーシャル・エンジニアリング」は、システム的なハッキングというよりは、どちらかというと詐欺に近い手法で、使用者であるユーザーを騙して不正な活動を行うことと思ってください。

最近流行の標的型攻撃のとっかかりも、なりすましメールによって初動が取られる事がほとんどです。また、最近ではFacebookやTwitterでもなりすましアカウントが横行しており、フレンド申請が来ても、それが果たして本人なのかどうか、信用できない状態です。

Facebookで有名人の名前を検索すれば、何人もの同一人物が表示されるので、もっともリアルに感じられるのではないでしょうか。

最近の事例では、Facebook事務局を騙ったメールがきて、「あなたのアカウントを使用した、疑わしいアクセスが確認されました。12時間以内にクレジットカード番号を入力しなければアウントを停止します」といった記述がされるといった事例もあります。

詐欺と同じで、時間を区切ったり、脅かすことで、冷静な判断力を失わせ、欲しい情報を入手する手法です。

現在では、企業環境だけでなく、自宅のホームネットワークでも、ブロードバンド・ルーター等によるNAT環境になっており、外部から直接ネットワークへ侵入する事は非常に難しくなっています。

そこで攻撃者は、ユーザーをいかにうまく騙すか？ を考えているわけです。

時間をかけてシステムをハッキングしていくよりも、ユーザーを騙して、自分から情報を出させた方が確実ですが、何倍も効率が良いので、攻撃者としては当然の狙いと言えます。

こういった攻撃に対しては、何よりもユーザー教育がものを言います。

「こういう攻撃がある」と認識しているだけで疑うことができますので、攻撃の成功率はぐっと下がります。

今回のお話を頭の片隅において頂き、怪しいメール等がきたら、「あやしいな……」と疑ってかかりましょう。

何も考えずにメールを信じてしまうと、攻撃者の思うツボですよ！

お気をつけください！

それでは次回をお楽しみに！