Lesson5-6 サイバー攻撃の手口⑤

このレッスンではサイバー攻撃の手口のうち、

について解説します。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、
デジタル技術を使わずに情報を盗み出す手口です。

具体的には、主に3つの手口があります。

トラッシングとは、職場などのゴミを漁り、
機密情報や個人情報が書かれた書類を入手する方法です。

ゴミだけではなく、
不要になって処分したパソコンやスマホなどといった
デバイスから情報を抜き取られることもあります。

トラッシングを避けるためには、デバイスのデータを完全に消去し、
廃棄する時には信頼できる業者に依頼しましょう。

情報漏洩というと、ハッキングをイメージする方が多いかもしれませんが、
こうした物理的媒体による漏洩も非常に多いのです。

ショルダーハッキングは、
パソコンを操作する画面を後ろから覗き込み、
情報を盗むことです。

電車やカフェ、コワーキングスペースで仕事をする人が増えていますが、
こうした人が多い場所で機密情報のファイルを開いたり、
パスワードを入力したりするのは注意した方が良いでしょう。

スケアウェアとは、人の心理を利用して情報を盗む手口です。

例えば、会社のシステム部門を装ってパスワードを聞き出したり、
「ウイルス感染しました」などの警告画面をパソコンに表示させ、
トラブル解消すると言って個人情報を盗んだりします。

ソーシャルエンジニアリングは、
これまで学習してきたサーバー攻撃の手口とは異なり、
一見してアナログなので
セキュリティを高めるほどの重大な攻撃には思えないかもしれません。

しかし、こうした物理的、心理的攻撃は対策するのが非常に難しいのです。

攻撃者はソーシャルエンジニアリングで盗取した情報を使って、
さらなるサイバー攻撃を仕掛けることもあります。

サイバー攻撃の重要な手口の１つであることを頭に入れておき、
くれぐれも注意するようにしましょう。

※ソーシャルエンジニアリングについては、
Lesson4-1でも学習しました。

ダークウェブはインターネット上のWebサイトですが、
GoogleやYahoo!などの通常の検索エンジンからは閲覧ができません。

ダークウェブにアクセスするには、
特別なプログラムなどが必要であり、匿名性が高いのが特徴です。

ダークウェブはその名前から悪いイメージがありますが、
それ自体は犯罪ではなく、匿名での情報提供や、
検閲を回避して制限された情報にアクセスするためにも利用されます。

しかし、その匿名性の高さを利用して犯罪の温床にもなっているのです。

この講座に関係のある犯罪としては、

などがあげられます。

ダークウェブへのアクセスは違法ではありませんが、
アクセスするだけでウイルス感染してしまうようなサイトもあるため、
興味本位にアクセスするのは避けたほうが良いでしょう。

※ダークウェブについては、Lesson5-3でも触れています。

Lesson5では、サイバー攻撃のしくみとさまざまな手口について解説してきました。

あまり身近ではない高度なサイバー攻撃から、
フィッシング詐欺やスパムメールなど個人でもよく目にする手口、
そして内部不正やソーシャルエンジニアリングなどの
人の心理を利用し対策が難しい攻撃もありましたね。

攻撃の手口を知っているだけでも、
セキュリティ対策への意識は高くなります。

Lesson6からは、これらのサイバー攻撃の対策方法を解説していきます。