ソーシャルエンジニアリング - ソーシャルエンジニアリングの使い方・オプション・サンプル

ソーシャルエンジニアリング - ソーシャルエンジニアリング

人間の心理的な隙を突いて情報を詐取する攻撃手法。技術的な脆弱性ではなく、人的な脆弱性を標的にする。

概念図

攻撃シナリオ

プリテキスティング（なりすまし電話）の例

bash

電話:「IT部門です。セキュリティ更新のためパスワードを教えてください」

ベイティング（餌付け）攻撃の例

bash

USB メモリを駐車場に放置 → 拾った従業員が PC に接続 → マルウェア感染

主な手法

プリテキスティング（Pretexting）: 信頼できる人物になりすまし、もっともらしい口実で情報を聞き出す
ベイティング（Baiting）: マルウェア入りの USB メモリや偽のソフトウェアで標的を誘導する
テールゲーティング: 正規の入館者に紛れてセキュリティ区域に侵入する
クイドプロクオ（Quid Pro Quo）: 技術サポートなどを装い、見返りとして情報を引き出す
ビッシング（Vishing）: 電話を使ったフィッシング。音声で緊急性を演出し、判断力を鈍らせる

組織的な対策

セキュリティ意識向上トレーニング: 年 1 回以上の研修で手口と対処法を周知する
模擬攻撃訓練: フィッシングメール訓練やレッドチームによる物理侵入テストを実施する
情報開示ポリシー: 電話やメールでの機密情報開示手順を明文化する
入退室管理: IC カード認証や生体認証を導入し、テールゲーティングを防止する
インシデント報告文化の醸成: 不審な連絡を受けた場合に報告しやすい環境を作る

関連トピック

フィッシング- 正規のサービスを装った偽サイトやメールでユーザーの認証情報・個人情報を詐取する攻撃。全サイバー攻撃の起点として最も多い手法。 パスワードポリシー- パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。