ソーシャルエンジニアリング

読み :  ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、コンピューターやネットワークに不正に侵入するために人間の心理の隙を巧みに突いてIDやパスワードを入手する手段を意味する。
ソーシャルエンジニアリングの特徴は技術を利用せず、盗み聞き、盗み見、電話で身分を偽証して聞き出すといった社会生活上でIDやパスワードを入手する点にある。
※「Social(ソーシャル)」は「社会の」という意味

もともとは「社会工学」という意味の言葉で、人間の社会的行動を研究し、問題解決をするための学問である。
学問としてのソーシャルエンジニアリングは社会に役立つ研究が行われているわけだが、不正アクセスの手段としてのソーシャルエンジニアリングは人間の心理的なミスを突いてIDやパスワードを入手する不正行為であるため、心理を理解するという点では共通しているが目的が全く異なる。

ソーシャルエンジニアリングを試みる不正侵入者は盗み聞きや盗み見、あるいはゴミ箱に捨てられた資料などからIDをパスワードを入手するわけだが、これらは人間の心理的なミスや油断を突くものである。
たとえばIDやパスワードを書いた紙を会社のゴミ箱に捨てたとする。
社内だから外部に漏れないだろうと油断していると、清掃業者を装った侵入者にゴミ箱を漁られる恐れがある。

ショルダーハックもソーシャルエンジニアリングの手法のひとつで、人がIDやパスワードなどの機密情報を入力している様子を後ろから覗き見することで不正に入手される。
金融機関やATMで暗証番号を入力する様子を見られたり、社内だからといって油断してクレジットカード情報を入力していると暗証番号を盗み取られてしまう恐れがある。

電話でのケースだと、IDやユーザー名を盗み見や盗み聞きなど何らかの方法で取得し、利用者を装ってをして管理者にパスワードを聞き出す者もいる。
反対に、管理者を装って利用者に電話をしパスワードを聞き出す手口もある。
こうしたソーシャルエンジニアリングの手口の被害を防ぐには、パスワード忘れは正規の手続き以外に対応してはいけないなど、機密情報に関する取り決めを徹底しなければならない。