テクノロジ系 / 情報セキュリティ
ソーシャルエンジニアリング
技術ではなく人の心理や行動のすきを突いて、機密情報を盗み出す手口です。
意味を丁寧に確認
電話で関係者になりすまして聞き出す、肩越しに画面をのぞき見る、ごみ箱の書類をあさるなど、コンピュータを直接攻撃せずに情報を得る方法の総称です。対策は機器ではなく、本人確認の徹底や教育など人の運用面が中心になります。
覚え方
試験での見方
黒猫の辛口メモ
「のぞき見(ショルダーハッキング)」「なりすまし電話」「ごみあさり(トラッシング)」はすべてソーシャルエンジニアリングの例として出ます。技術的攻撃ではない点がポイントです。
システム管理者になりすまして利用者に電話し、「確認のため」と称してパスワードを聞き出す、など。
システムではなく「人」を狙う攻撃、と覚えます。フィッシングもメールで人をだます点でこの一種に位置づけられます。