social engineering ソーシャルエンジニアリング
人間の心理や、行動の脆弱性をついて、不正に企業や個人の情報を入手すること。
ソーシャルエンジニアリングは、技術的なセキュリティ対策がとられていても、人間の心理や行動の脆弱性をついて、比較的アナログな方法で、不正に企業の機密情報や個人の情報を入手する手法のことで、以下のようなものがあげられます。
1.フィッシング
メール、メッセージ、またはウェブサイトを偽装して、ユーザに個人情報やログイン情報を提供させる手法です。例えば、偽の銀行のウェブサイトに誘導して、アカウント情報を入力させたりします。
2.なりすましにより、情報を入手
信頼性のある第三者のふりをして、情報を引き出す方法です。例えば、実在する社員を装ったり、顧客、ITサポートのスタッフや上司を装って電話をかけて、パスワードなど聞き出したりします。
3トラッシング
ゴミ箱や廃棄物から機密情報を入手する手法です。紙の書類や、廃棄されたコンピューターなどから、重要な情報を収集します。
4.インタビュー
ユーザから情報を引き出すため、社交的な方法を使います。例えば、インタビューやアンケートのふりをして、個人情報や、機密情報を取得したりします。
5.ショルダーハッキング
肩越しに、使用中のパソコンやスマートフォンをのぞき見して、ログインする際のパスワードを入手したり、画面周りに張られてる付箋に記載されている、ログイン情報などを盗み見たりします。