ソーシャルエンジニアリング(読み)そーしゃるえんじにありんぐ(英語表記)social engineering

知恵蔵の解説

ソーシャルエンジニアリング

システムやネットワークに侵入するためのIDパスワードや、企業の機密情報などを、技術的な方法で入手するのではなく、直接的に人が作業を行う、あるいは心理的な手段で入手することを意味する。
ソーシャルエンジニアリングで、直接的な人の作業によるものとしては、トラッシング(Trashing)とショルダーハッキング(Shoulder Hacking)が知られている。トラッシングとは、企業から廃棄された不要品などから、パスワードなどの重要な情報を探し出したり、清掃員等になりすまして企業内に侵入し、重要な情報がごみ箱に捨てられていないかどうかを調べたりする行為である。ショルダーハッキングとは、パソコンを操作しているユーザーの肩越しに、システムのIDやパスワードなど重要な情報を盗み見ることを意味する。
心理的な手段としては、社員になりすました者が、社内のシステム管理者に、「パスワードを忘れてしまった」などと電話をして聞き出そうとしたり、インターネットサービスを利用している一般ユーザーに対し、インターネットサービスの提供会社等を装って、ユーザーのIDとパスワードを聞き出したりするといったような、人間の心理や行動のすきにつけこんだ行為が一般的だ。また、このようなケースでは、会社幹部等の権威を持つ者になりすます「ネームドロップ」や、職場の同僚や仲間のふりをする「フレンドシップ」等と呼ばれる手段を併用して、信用度を高め、相手を油断させることも多い。
2018年1月、日本の仮想通貨取引所を運営するコインチェック株式会社から、580億円相当の仮想通貨「NEM」が盗難にあうという事件があった。犯人は偽名を使って、同社のシステム管理者達と、数カ月をかけて交流し、怪しいものではないと信用させてから、ウイルスを仕込んだメールを開かせて、同社のパソコンをウイルスに感染させ、犯行に及んだといわれている。

(横田一輝 ICTディレクター/2018年)

出典 (株)朝日新聞出版発行「知恵蔵」知恵蔵について 情報

日本大百科全書(ニッポニカ)の解説

ソーシャルエンジニアリング
そーしゃるえんじにありんぐ
social engineering

一般的には社会工学を意味する用語で、情報セキュリティ分野においては、パスワードに代表される重要なセキュリティ情報を電子的な手段によらず、物理的、心理的手段によって入手する行為をさす。信用させて直接本人から聞き出す、話している内容を盗み聞きする、使用者のパスワードを入力時に盗み見る、不用意に捨てられたメモを見る、オフィスから廃棄されたIT機器を不正に入手する、業務上のメールを装ってパスワードを聞き出すなどの手法がある。組織としてセキュリティ情報の保護に関する管理規則が徹底していない場合や、個人の意識が低い場合につけ込まれやすい。人間に内在する「脆弱(ぜいじゃく)性」を利用するものであり、技術的な対策を施すだけでは対抗するのはむずかしい。ソーシャルエンジニアリングの手法を常時、調査・研究し、可能な限りわかりやすい防御マニュアルを整備して関係者に広く周知し、演習やトレーニングを行うことが重要である。

[編集部]

出典 小学館 日本大百科全書(ニッポニカ)日本大百科全書(ニッポニカ)について 情報 | 凡例

IT用語がわかる辞典の解説

ソーシャルエンジニアリング【social engineering】

コンピューターセキュリティーにおいて重要なパスワード・暗証番号・ユーザーIDなどの情報を、技術的にではなく、人的・社会的な方法で不正に収集すること。身分を詐称して直接聞き出したり、他人のキーボードやディスプレーを盗み見たり(ショルダーサーフィン)、オフィスから廃棄された紙くずやハードディスクを盗んだり(スキャベンジング)すること。◇「ソーシャルハッキング」「ソーシャルクラッキング」ともいう。

出典 講談社IT用語がわかる辞典について 情報

デジタル大辞泉の解説

ソーシャル‐エンジニアリング(social engineering)

社会工学
コンピューター犯罪の手法の一。パスワードや暗証番号などのセキュリティー上重要な情報を、身分を詐称して聞き出したり、キーボード操作を盗み見たりするなどの人的手段で不正に入手することを指す。ソーシャルハッキング。ソーシャルクラッキング。

出典 小学館デジタル大辞泉について 情報 | 凡例

ASCII.jpデジタル用語辞典の解説

ソーシャルエンジニアリング

ユーザーIDやパスワードなど、セキュリティ上重要な情報を、盗み見、盗み聞き、なりすましなど人的手段で収集すること。オフィスから出るごみから情報を盗むような行為も含む。

出典 ASCII.jpデジタル用語辞典ASCII.jpデジタル用語辞典について 情報

情報セキュリティ用語辞典の解説

ソーシャルエンジニアリング

物理的手段によって、IDやパスワードなどの情報を獲得する行為。具体的には、電話でユーザーになりすましてパスワードを聞き出す行為などを指す。

出典 教育ネットワーク情報セキュリティ推進委員会(ISEN)情報セキュリティ用語辞典について 情報

今日のキーワード

巡視船

海上保安庁に所属し海上の警備と救難業務を行なう船。外洋で行動する大型で航洋性があるものを巡視船といい,港内や湾内などのかぎられた水域で行動する 100総t程度以下の小型のものを巡視艇と呼ぶ。武器として...

巡視船の用語解説を読む

コトバンク for iPhone

コトバンク for Android