ソーシャルエンジニアリングとは、コンピュータに侵入するためなどに、人の心理的・社会的な弱点や盲点を使用する手法です。 電話やメールで、企業の従業員に対して同僚や情報システム管理者などの関係者を名乗り、ID やパスワードを詐取する「なりすまし」や、事務所の廃棄物から情報を詐取する「ごみあさり」などが代表的です。 ソーシャルエンジニアリングは古くからある手法ですが、最近でも、特定の企業に対して社内の関係者を装ったウイルス付きメールを送信するなどのソーシャルエンジニアリングを用いた攻撃が発生しています。引き続き、このような攻撃には注意が必要です。
参考文書(日本語)
-
JPCERT/CC Alert 2007-06-14
ID やパスワードを聞き出そうとする電話に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070015.txt
-
総務省 社員・職員全般のための情報セキュリティ対策
ソーシャルエンジニアリングの対策
http://www.soumu.go.jp/joho_tsusin/security/business/work05.htm
-
独立行政法人 情報処理推進機構
国内におけるソーシャル・エンジニアリングの実態調査 (PDF)
http://www.ipa.go.jp/security/fy11/report/contents/intrusion/socialeng/socialeng.pdf
Weekly Report 2007-06-20号 に掲載