ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

ソーシャル・エンジニアリングとは、「サービスの利用者・管理者などから、話術や盗み見・盗み聞きなどの社会的手段により、暗証番号やパスワードなどの重要な情報を取得すること」です。

元来はコンピューター用語で、ウィルスやスパイウェアを用いずにパスワードを入手して不正に侵入(クラッキング)することが目的で、その場合は「ソーシャル・クラッキング」「ソーシャル・ハッキング」とも呼ばれます。

ソーシャル・エンジニアリングには、以下のような手口があります。

  • 暗証番号やパスワードを入力する様子を覗き見る
  • 会社や家のゴミを漁って、個人情報を得る
  • サービスの利用者または管理者になりすまして、管理者または利用者に暗証番号やパスワードを尋ねたり変更させたりする
  • 電話に出た子供から、両親に関する個人情報を聞き出す

2000 年に登場した I Love You (LoveLetter) ウィルスは、ソーシャル・エンジニアリングを組合わせた最初のコンピューター・ウィルスとされています。

このウィルスは、以下のように巧みなものだったため、被害が拡大しました。

  1. パソコンの Outlook のアドレス帳に登録された全てのメールアドレスに対し、"I Love You" という件名 (Subject) のメールを送信する
  2. 受信者は、知人からのメールと信じて開封する
  3. 受信者は、添付ファイルもクリックしてしまう

会話にソーシャル・エンジニアリングを用いる場合、以下の技術があります。

  • ネーム・ドロップ
    • 経営者や内部監査人などを騙る
  • ハリー・アップ
    • 相手に考える時間や第三者に相談する時間を与えない
  • フレンドシップ
    • ネームドロップが権威ある人物を装うのに対し、同僚や仲間と偽る
  • ロング・タイム
    • 話を長引かせて相手が疲れた頃に、「最後の質問」を投げ掛ける
  • テクニカル・ワード
    • 専門用語を多く交えて話をする
  • バッファー・オーバーフロー
    • 相手に多くの情報を与え、理解の範囲を超えさせる
  • ギブ・アンド・テイク
    • まず相手の望む情報を提供してから、自分の欲しい情報と交換させる
  • ラスト・ワン
    • 単純な質問を連続して行った後で本命の質問をするが、ロング・タイムとは時間を掛けない点が異なる