사회 공학

ソーシャルエンジニアリングとは、ネットワークに侵入するための不正アクセスの手法です。ネットワークにアクセスするためのパスワードや、個人情報などの重要情報を、インターネットなどの情報通信技術を使用せずに入手する手法で、サイバー攻撃のような技術的な攻撃とは異なり、人間の心理的な隙をつくことから「心理的攻撃」ともいわれます。
通常、情報セキュリティについて考えるとき、多くの場合ウイルスやランサムウェア（※1）のような技術的な攻撃を想定しますが、ソーシャルエンジニアリングは手口としては大変アナログです。人間の脆弱性、人の善意といったものにつけ込むため、誰でも被害にあう可能性があります。

ソーシャルエンジニアリングにはさまざまな種類があります。代表的な例は以下の通りです。

〈電話を利用する〉

何らかの方法でユーザ名を入手したのち、その利用者になりすまし、ネットワーク管理者に電話をかけてパスワードを聞き出します。逆に管理者になりすまして、利用者からパスワードを聞き出すこともあります。

〈ショルダーハッキング〉

パソコンでパスワードなどの重要な情報を入力しているところへ、後ろから近づいて覗き見ることです。肩（ショルダー）越しに覗くことから「ショルダーハッキング」と呼ばれます。

〈トラッシング〉

쓰레기는 "쓰레기"를 나타냅니다 트러싱은 "쓰레기를위한 청소"를 의미합니다 서버 및 라우터 구성 정보, 네트워크 구성 다이어그램, IP 주소, 사용자 이름 및 쓰레기에 폐기 된 용지 및 스토리지 미디어와 같은 자료의 비밀번호와 같은 중요한 정보를 훔칩니다

ソーシャルエンジニアリングから企業や組織を守るためには、重要情報を漏洩させないよう、日ごろから社員の意識を向上させておく必要があります。

• 電話で聞かれただけでは重要な情報は教えない
• パスワードなどの重要な情報を入力する際には周囲に注意する
• 重要な情報を廃棄する際にはシュレッダーにかける
• データが復元できないよう処理する

社員への基本的な意識付けを徹底することに加え、パスワードや重要情報に対するルールを決めて運用を行うことが大切です。

また、近年は標的型攻撃メール（※2）を使ったソーシャルエンジニアリングの手法も増えています。「至急確認をお願いします」「重要」など、緊急性をもたせたワードがある場合は注意が必要です。早く解決したい、穏便にすませたいといった心理が働き、思わぬ判断ミスや間違った行動につながってしまうケースもあります。

※1ランサムウェア：ランサムは「身代金」の意味。パソコンを感染させてロックしたり、ファイルを暗号化したりすることで使えなくし、身代金を要求する不正プログラム。
※2 標的型攻撃メール：不特定多数を狙った迷惑メールではなく、特定の組織を狙ったウイルス付きメールのこと。