ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、「サービスの利用者・管理者などから、話術や盗み見・盗み聞きなどの社会的手段により、暗証番号やパスワードなどの重要な情報を取得すること」です。
元来はコンピューター用語で、ウィルスやスパイウェアを用いずにパスワードを入手して不正に侵入(クラッキング)することが目的で、その場合は「ソーシャル・クラッキング」「ソーシャル・ハッキング」とも呼ばれます。
ソーシャル・エンジニアリングには、以下のような手口があります。
- 暗証番号やパスワードを入力する様子を覗き見る
- 会社や家のゴミを漁って、個人情報を得る
- サービスの利用者または管理者になりすまして、管理者または利用者に暗証番号やパスワードを尋ねたり変更させたりする
- 電話に出た子供から、両親に関する個人情報を聞き出す
2000 年に登場した I Love You (LoveLetter) ウィルスは、ソーシャル・エンジニアリングを組合わせた最初のコンピューター・ウィルスとされています。
このウィルスは、以下のように巧みなものだったため、被害が拡大しました。
- パソコンの Outlook のアドレス帳に登録された全てのメールアドレスに対し、"I Love You" という件名 (Subject) のメールを送信する
- 受信者は、知人からのメールと信じて開封する
- 受信者は、添付ファイルもクリックしてしまう
会話にソーシャル・エンジニアリングを用いる場合、以下の技術があります。
- ネーム・ドロップ
- 経営者や内部監査人などを騙る
- ハリー・アップ
- 相手に考える時間や第三者に相談する時間を与えない
- フレンドシップ
- ネームドロップが権威ある人物を装うのに対し、同僚や仲間と偽る
- ロング・タイム
- 話を長引かせて相手が疲れた頃に、「最後の質問」を投げ掛ける
- テクニカル・ワード
- 専門用語を多く交えて話をする
- バッファー・オーバーフロー
- 相手に多くの情報を与え、理解の範囲を超えさせる
- ギブ・アンド・テイク
- まず相手の望む情報を提供してから、自分の欲しい情報と交換させる
- ラスト・ワン
- 単純な質問を連続して行った後で本命の質問をするが、ロング・タイムとは時間を掛けない点が異なる
