ソーシャル・エンジニアリング

人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法

ソーシャル・エンジニアリング: social engineering)とは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する犯罪を指す[1]社会工学: social engineering)の分野では、プライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究することを言う。フィッシングスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。

概要

編集

元来は、コンピュータ用語で、コンピュータウイルススパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキングソーシャルハック)、ソーシャルクラッキングとも言う。

ソーシャル・エンジニアリングには以下のような方法が、よく用いられる。

  • 重役や上司(直属でない・あまり親しくない)、重要顧客、システム管理者などと身分を詐称して電話をかけ、パスワードや重要情報を聞きだす。
  • 現金自動預け払い機 (ATM) などで端末本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する(ショルダーサーフィン英語版、もしくはショルダーハッキング[2]という)。
ATMの操作時に後方や隣に不審者がいないかを確認するため凸面鏡、覗かれないようパーティションを設置したり、静脈による生体認証を取り入れるなど対策が強化されている。スマートフォンを利用するときには、スクリーンにのぞき見防止フィルムを貼るのも有効である。
  • IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。ディスプレイ周辺やデスクマットに貼り付けられていることが多い。
  • 特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した人物が2007年3月に書類送検されている)。

カード詐欺

編集

コンピュータのパスワードを入手するだけでなく、クレジットカードキャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口にも用いられる。電話で連絡を取り、

  • 警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す
  • 信販会社を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す

暗証番号は、カードの会社・金融機関等が用意した端末以外に入力するべきではない。カードの会社等の担当者ですら、聞く事はあり得ないと言ってよい(暗号化されており解析不可能。正当な顧客からの問い合わせに対しても再登録するよう指示がされる)。

また、直接暗証番号を尋ねずに、生年月日等の個人情報を尋ねて預金の不正引出に及んだ例もある[要出典]。これは生年月日を暗証番号として設定していた事例である。

手口の一例

編集

個人情報を聞き出す為にも用いられる。電話で連絡を取り、

  • 学校の同級生の親族や警察を名乗り、本人や他の同級生の住所や電話番号を聞き出す
  • 宅配便を名乗り、住所が良く判らないという口実で正確な住所を聞き出す
  • 興信所を名乗り、本人に縁談があるという口実で素行などを聞き出す
  • 警察公安委員会裁判所を名乗り、住所や電話番号、家族構成、勤務先、通学先などを聞き出す

脚注

編集

関連項目

編集