ソーシャル・エンジニアリングとは?
ネットワークなどに侵入するために必要となる、パスワードなどの情報を、情報技術を使わずに盗む方法であり、これは人間の心理や隙などをついて、行います。
代表的な方法としては、主にその人物の生活を覗くことで、盗み取ります。
・電話で聞く
電話を利用した方法は昔からあり、使われてきました。
あるターゲットとなる人物の電話番号を手に入れたら、電話をかけてパスワードを聞き出します。
もちろん教えてくださいと聞いても答えるはずはないので、管理者などになりすまし、パスワードの確認などの方法により聞き出します。
・パスワード入力を直接見る
相手がパスワードを入力しているときに、後ろにそっと近づき、どのキーを押したか見る方法です。
ショルダーハッキングと呼ばれており、こちらも昔から使われてきました。
どのキーを押したか、わかりやすくしておくなど、予め細工することもあります。
・ゴミ箱を漁る
こちらも昔から行われてきた方法です。
ターゲットとなる人物の、家の中のゴミやゴミ出しした書類などを漁り、パスワードが書かれていないか探します。
・メールで調べる
メールが誕生してからは、メールによる方法も使われています。
これは、そのサービスによく似たドメインを取得し、管理者などになりすまし、パスワードを変更してください、などと呼びかけ入力させて盗み取ります。
個人情報を漏らさない
これらの方法では、日常生活の中からパスワードを盗んでいます。
このために、不用意にパスワードを漏らさないことが大切です。
例えば、パスワードはメモしない、メモした紙はシュレッダーにかけるなどする、パスワード入力時は周囲に怪しい人がいないか確認し、怪しいメールにも答えないようにします。
ただこれらは、明らかに怪しい人物だと注意できますが、セールスマンや工事業者を装う場合や、時には知人や友人が行うケースもあります。
有名なジブリの耳を澄ませばでも、似たケースがあります。
天沢聖司は、ヒロインの雫にどうにかして近づこうと、図書館を使うことを思いつきます。
本を借りて図書カードに自分名前を記載させることで、雫に印象づけようとします。
ただ雫がどんな本を借りるかわからないと、自分の名前を見せることが出来ません。
そこで、図書カードを分析し、彼女が好きそうな本を探し、事前に借りて、自分の名前を記載させるようにしたのです。
ソーシャル・エンジニアリングは、日常生活を利用するので、近づくことさえできれば可能な方法です。
そして、相手に不審でないと思わせれば、知り合いや業者のフリをして、パスワードなどを聞き出すことが可能となっています。
注意しないといけないのは、この方法はパスワードを盗まれた本人は、盗まれたこと自体に気がつきにくく、安全を確保して、盗みやすいということです。