ソーシャルエンジニアリングとは?(2)
それでは「ソーシャルエンジニアリング」の手口の続きを見てみましょう。
■なりすまし
会社の同僚や取引先の人間のふりをして、情報を盗み出そうとする方法ですね。
例えば、企業のシステム管理者に対して、社内の内線で「パスワードを忘れちゃったので教えてください」とお願いすると、セキュリティの意識が低い管理者は気軽に教えてしまう可能性がありますね。
また、「緊急です!」とか他部署の上司のフリをして怒ったりすれば、教えてしまうことは多いでしょうね。
こういう「なりすまし」に対しては、しっかりと本人確認を取ることが重要だと思います。
■チャット・BBS
例えばチャットやBBSで以下のような質問をします。
「パスワードってどうやってつければいいですか?」
そうすると親切な人は、「誕生日と名前をつなげれば複雑になるよ」というような回答をくれるかもしれません。
その後、その人のパスワードを、そのパターンで解析をしてみるという方法です。
自分のパターンを公開する時はそういう危険性も考慮しましょう。
■リバースエンジニアリング
普通ソーシャルエンジニアリングは、それを行う人間からターゲットに近づくことで情報を得ますね。
でも、リバースエンジニアリングでは、ワナを仕掛けておいて、ターゲットがそのワナに掛かってアクセスしてくるのを待ちます。
例えば、あらかじめ、緊急用の電話番号をウソのものをターゲットに教えておきます。
そしていざ緊急時に電話をかけてみると、、、といった方法です。
■Webスプーフィング
偽のサイトに誘導して、情報を入力させる方法です。フィッシング詐欺でよく使われますね。
DNSスプーフィング(DNSポイズニング)という方法で、偽のサイトに誘導したり、メールやWebサイトのリンク先を偽ったりして、ユーザに気付かせないように、偽サイトへ呼び込みます。
これらの内容は、ちょっと古いですが、2000年にIPAが発表した以下の資料に詳しく書かれてますので、もし興味がありましたら見てみてください。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。