ソーシャルエンジニアリングの手口：情報セキュリティアドミニストレータ試験対策

>・トラッシング …
>　ターゲットのごみをあさって、重要情報を入手する事
>・構内侵入 …
>　ピギーバック（そのビルに入ろうとしている正規のものの同伴者を
>　装い侵入する行為）や別件訪問のついでに構内を歩き回り、机の上
>　の書類やモニタに貼られた付箋紙などを盗み見る。
>・覗き見 …
>　ターゲットとの面会中、ターゲットが席をはずしたすきにメモや手
>　帳、パソコンのデータなどを見る。またパソコンを操作している者
>　の肩越しからパソコンの画面を覗き見る行為（ショルダーハッキン
>　グ）
>・インターネットの掲示板などからの収集 …
>　公開の場にもかかわらず、社外情報などを書き込んだり、社内で使
>　用しているパスワードを使う者がいる為、それらを探し情報を収集
>　する。
>・Web spoofing（偽サイト）…
>　偽のサイトを作りターゲットの情報を書き込ませる。
>・なりすまし …
>　電話などで他人になりすまし、情報を聞き出す。

　◇ソーシャルエンジニアリング　とは。。。

　　ネットワークの管理者や利用者などから、上記のような「社会的」
　　な手段によって、パスワードなどのセキュリティ上重要な情報を入
　　手することです。

　Yashoo!Japanのログインページに「偽ログインページにご注意」と
　いうリンクが張られていますので、読んでみましょう。

　不正な個人情報取得メールに関するご注意
　http://docs.yahoo.co.jp/info/notice10.html

>周囲の人はすべて攻撃者だと思う心構えをもち、用心しながら話を聞
>き、相手に伝える事柄は一呼吸おいてから口に出す事を常に意識する。

>○周囲の人はすべて攻撃者だと思う心構えが必要。
>　・話し相手の身元を確認すること。
>　・電話で不審に思ったらコールバックする。
>　・重要な情報を尋ねられたら、自分1人で判断しないで周囲の人と相
>　　談してから答える。周りにだれもいなかったら、即答せずに後で
>　　回答する。
>　・回答のための連絡は自分から行う。
>　・パスワードの再発行では、登録されたアドレスにメールを送ると
>　　か、登録された住所に郵送するなど電話で直接伝えることは絶対
>　　に避ける。

　平成14年度午後I問4にＰ部長が登場しますが、このＰ部長は偽のＰ
　部長でソーシャルエンジニアリングの手口で社内ネットワークのパ
　スワードを聞き出しているという見方もできます。

　上司の命令、緊急性を強引に押し出し、電話でシステム管理者から
　パスワードを聞き出すことに成功しました。

　対策としては、セキュリティポリシに従うということが重要です。
　たとえ相手の身元が確認できたとしても重要な情報が盗聴されてし
　まう可能性がありますので、電話でのやりとりを禁止する規定を策
　定する必要があるかもしれません。

　電話による“なりすまし”の対策ではありませんが、一つの方法と
　して、複数のシステム管理者が同時に許可しなければ重要な資産に
　アクセスできないようにするといった対策も考えられます。

　これは、デュアルコントロールと言われます。核ミサイルの発射が
　一人ではできないようになっているのもデュアルコントロールの一例です。

>簡単な内容ではあるが、総務省で「ソーシャルエンジニアリングの対策 」
>なるものがあった。
>http://www.soumu.go.jp/joho_tsusin/security/business/admin_05.htm

　ご紹介ありがとうございます。
　ソーシャルエンジニアリングの手口のうち３例が挙がっていますが
　分かりやすく書かれていますね。

　ソーシャルエンジニアリングって何？という方にお薦めします。

>ソーシャルエンジニアリングにはさまざまな手口があることを思い知
>らされました。“なりすまし”、“のぞき見”くらいは認識しました
>けど。また、なりすましの手口も巧妙なものですね。
>パスワードやシステムに関係することではないですが、業者を装って
>従業員の名前や住所を聞き出すのもソーシャルエンジニアリングに当
>てはまるのでしょうか。

　はい。業者を装って従業員の名前や住所を聞き出すのもソーシャル
　エンジニアリングの一つの手口です。本人は重要な情報だと思って
　いなくてもソーシャルエンジニアにとっては、のどから手が出るほ
　ど欲しい情報ということもありますので、注意が必要です。

　電車の中や酒の席で会社の話しをする時も思わず重要な情報を漏ら
　している可能性があります。

>技術的にどれだけ強固なセキュリティーを構築して不正侵入を防ぐ対
>策を施してもソーシャルエンジニアリングを仕掛けられそれに引っか
>かればいとも簡単に正規の利用者になりすまし、正規の侵入経路にて
>社内のネットワークに侵入されてしまう。
>
>まずは社内にこれらの脅威を十分理解してもらえる様に教育を実施し、
>簡単にだまされないような体制を作り上げなければなならい。また、
>ソーシャルエンジニアリングの具体的な防止策として規定集など文書
>化しておく事も不測な事態に備える上で有効な手段である。
>
>（例えば・・・）
>　・電話でのソーシャルエンジニアリングの防止策として、たとえ上
>　　司であっても電話で直ちに情報を教えることは避け、電話を掛け
>　　直す旨を伝えて一旦電話を切る。
>　　その後、電話の相手と同じ部所に所属している者に所在を確認し
>　　て本当に本人かどうかを確認する。確認後に、コールバック
>　　（同じ配属先の人間にて連絡させればなお確実）して、情報を伝
>　　える。
>　・パスワードを伝える場合は正規のパスワードではなく一時的に利
>　　用できるアカウントを作成してそれを利用してもらう。また、利
>　　用後は直ちに一時使用アカウントを削除する事を忘れない。

　ソーシャルエンジニアリングに対して自分だったら、どのように対
　応するかを考えるというのは非常にいい取組み方です。

　実際には、組織の状況や情報資産の重要度によって管理方法が変わ
　ってきますので、セキュアドの試験では、問題文に合わせて臨機応
　変に解答を導き出さなければなりません。

>今回のテーマは読みながら驚くことばかり。電話でなりすまして、簡
>単に個人情報が漏れてしまうのは恐ろしい時代だ。心構えでもあった
>ように「疑う」とあったが、セキュリティに関係ないが私の上司がよ
>く仕事で疑ってる事を思い出した。「信用と信頼は違う」と常に相手
>が言った事が本当にあってるのかどうかを、自分の目で確認しないと
>気がすまない方です。
>私は「そこまでしなくても」っていつも思うし、疑う事をあまりしな
>い身にとって、今回のテーマは何事にも注意深くしないといけないと
>痛感しました。

　セキュリティの維持は一人の力ではできませんからね。組織として
　取り組んでいく必要があります。セキュリティポリシを規定し、情
　報セキュリティ教育を行い、セキュリティレベルの向上を図ってい
　くといいでしょう。