ソーシャルエンジニアリング(読み)そーしゃるえんじにありんぐ

  • social engineering

知恵蔵の解説

システムやネットワークに侵入するためのIDやパスワードや、企業の機密情報などを、技術的な方法で入手するのではなく、直接的に人が作業を行う、あるいは心理的な手段で入手することを意味する。
ソーシャルエンジニアリングで、直接的な人の作業によるものとしては、トラッシング(Trashing)とショルダーハッキング(Shoulder Hacking)が知られている。トラッシングとは、企業から廃棄された不要品などから、パスワードなどの重要な情報を探し出したり、清掃員等になりすまして企業内に侵入し、重要な情報がごみ箱に捨てられていないかどうかを調べたりする行為である。ショルダーハッキングとは、パソコンを操作しているユーザーの肩越しに、システムのIDやパスワードなど重要な情報を盗み見ることを意味する。
心理的な手段としては、社員になりすました者が、社内のシステム管理者に、「パスワードを忘れてしまった」などと電話をして聞き出そうとしたり、インターネットサービスを利用している一般ユーザーに対し、インターネットサービスの提供会社等を装って、ユーザーのIDとパスワードを聞き出したりするといったような、人間の心理や行動のすきにつけこんだ行為が一般的だ。また、このようなケースでは、会社幹部等の権威を持つ者になりすます「ネームドロップ」や、職場の同僚や仲間のふりをする「フレンドシップ」等と呼ばれる手段を併用して、信用度を高め、相手を油断させることも多い。
2018年1月、日本の仮想通貨取引所を運営するコインチェック株式会社から、580億円相当の仮想通貨「NEM」が盗難にあうという事件があった。犯人は偽名を使って、同社のシステム管理者達と、数カ月をかけて交流し、怪しいものではないと信用させてから、ウイルスを仕込んだメールを開かせて、同社のパソコンをウイルスに感染させ、犯行に及んだといわれている。

(横田一輝 ICTディレクター/2018年)

出典 (株)朝日新聞出版発行「知恵蔵」知恵蔵について 情報

IT用語がわかる辞典の解説

コンピューターセキュリティーにおいて重要なパスワード・暗証番号・ユーザーIDなどの情報を、技術的にではなく、人的・社会的な方法で不正に収集すること。身分を詐称して直接聞き出したり、他人のキーボードやディスプレーを盗み見たり(ショルダーサーフィン)、オフィスから廃棄された紙くずやハードディスクを盗んだり(スキャベンジング)すること。◇「ソーシャルハッキング」「ソーシャルクラッキング」ともいう。

出典 講談社IT用語がわかる辞典について 情報

日本大百科全書(ニッポニカ)の解説

一般的には社会工学を意味する用語で、情報セキュリティ分野においては、パスワードに代表される重要なセキュリティ情報を電子的な手段によらず、物理的、心理的手段によって入手する行為をさす。信用させて直接本人から聞き出す、話している内容を盗み聞きする、使用者のパスワードを入力時に盗み見る、不用意に捨てられたメモを見る、オフィスから廃棄されたIT機器を不正に入手する、業務上のメールを装ってパスワードを聞き出すなどの手法がある。組織としてセキュリティ情報の保護に関する管理規則が徹底していない場合や、個人の意識が低い場合につけ込まれやすい。人間に内在する「脆弱(ぜいじゃく)性」を利用するものであり、技術的な対策を施すだけでは対抗するのはむずかしい。ソーシャルエンジニアリングの手法を常時、調査・研究し、可能な限りわかりやすい防御マニュアルを整備して関係者に広く周知し、演習やトレーニングを行うことが重要である。[編集部]

出典 小学館 日本大百科全書(ニッポニカ)日本大百科全書(ニッポニカ)について 情報 | 凡例

今日のキーワード

オーバーシュート

感染症の爆発的な感染拡大を指す。語源は、「(目標を)通り越す」「(飛行機などが停止位置を)行き過ぎる」という意味の英語の動詞「overshoot」。2019年12月に発生した新型コロナウイルスに関して...

続きを読む

コトバンク for iPhone

コトバンク for Android

ソーシャルエンジニアリングの関連情報