social engineering ソーシャル・エンジニアリング

 コンピュータの不正アクセスを目的とした行為のことで,ハッカー&クラッカーの用いる手法の一つ。 直訳は「社会工学」だが,これはあまり使われない。 『ソーシャルされる』と動詞型でも使われる。 ソーシャルエンジニアリング的手法などと,件名や本文を工夫することで添付ファイルを開かせるような,人の心理をつくウィルスの感染方法としても使われる。 広義にはネットワークの管理者や利用者などから,話術や盗み聞き,盗み見などの「社会的」な手段によって,パスワードなどのセキュリティ上重要な情報を入手する行為すべてを指し,ウイルスによる不正アクセス,件名や本文などの工夫でメール受信者の心理をついて自ら添付ファイルを実行させようとする行為なども含まれる。 狭義には,電子的な手段に頼らない手口に限定される。

 悪意を持ったハッカーが不正アクセスのための情報を,技術的な手段を使わずに,関係者から引き出す手口。 あるいは,人々から返事を引き出すことによって情報を集める能力。 目的とする情報(多くはサーバーのパスワード)を入手するために,その情報を持つ人間に電話や対面で喋らせること。 管理者たちがもっともだと信じるような理由を並べて説得する。 電話で重要なパスワードを聞き出したり,ごみ箱をあさって機密情報(パスワード)を見つけるなど,一般に人間の心理的な弱点を突いて攻撃を仕掛ける手法の総称。 誘導尋問やカマをかけるテクニックが使われ,自分には当然その情報を受け取る資格があるかのように振る舞って,標的にされた人物を思い通りに動かそうとする。 成功するには,ハッカー自身が別人になりきって,自分はそのとき装っている人物なのだと自らに信じ込ませることが必要らしい。
 具体的な手口としては,カスタマーサポート・センターに電話して,特定のユーザーのパスワードを変更するよう頼むという方法がある。 それには,『顎の手術をしたばかりで話しづらいふりをする』方法で,『言ったことが聞き取れたかどうか,繰り返してもらえますか?』と頼んで,姓や名前も手に入れる。 そして,新しい情報が手に入るたびに電話をかけ直し,わかっている情報は聞き取れるように,わからない部分は不明瞭に話し,さらに情報を手に入れる。 特に,経験やトレーニングが少ないインドやメキシコのユーザーサポートがねらわれる。  また,「十代の女の子」を装って従業員とチャットし,偽の写真も送って,夢中にさせる。 セキュリティーのスタッフのふりをして,情報を引き出す。 不満がある従業員が社外の友人にアカウント情報をもらす,などの手口がある。
 2002年3月19日,CERT/CC は『IM や IRC でソーシャルエンジニアリングをされた』との複数の報告があったと発表。

ソーシャル・エンジニアリングの手法
1)トラッシング
 ゴミとして廃棄された物から,目的の情報を取得したり,オフィスから廃棄されたコンピュータ内のハードディスクからデータを読む行為。 Oracle 社 Larry Ellisons 氏の Microsoft 社からのごみあさりスパイ疑惑が2000年に話題となった。

2)構内侵入
 偽装または拾得した ID カードでガードマンのチェックをパスし,建物内に侵入する行為など。 ネットワークからの侵入とは異なる。

3)のぞき見
 ディスプレイ等に張り付けた付箋紙に記入してあるパスワードを見る,あるいはパスワードをキーボードに入力している場面を見ること。

4)なりすまし
 システム管理者や他部署の上司になりすまして,ユーザを騙す手口。 特に『ログインがうまくいかない』と威圧的に怒鳴りつけるのが有効らしい。 また,企業に英語で電話をかけて,役職者や管理者等の名前と電話番号などを聞き出すのも有効らしい。

5)チャット,BBS
 「パスワードの付け方」などという話題を持ちかけ,興味を持った相手にアドバイスを行い,そのアドバイスに基づいてパスワードを解析するなど。

6)リバースソーシャルエンジニアリング
 ハードウェアやソフトウェアなどの保守業者の緊急連絡先が変更になったいう偽のメールをシステム管理者などに送信し,トラブル発生時にその連絡を受け保守業者であると思いこませる。 または,トロイの木馬から認証情報などを入手するなど。

7)Web Spoofing
 本物と思わせた偽の Web サイトにアクセスさせ,そこで入力した情報を取得すること。 そのための手段としては,偽りの DNS 情報を流す,まぎらわしい URL やドメイン名にしてクリックさせる,E-mail に偽りの URL を記載しクリックさせる,JAVA スクリプトなどでプロバイダーがそれを行っているがごとく ID とパスワードの入力を促すダイアログボックスを表示させる,懸賞を行うサイトを立ち上げ情報を得る,フリーメールサービスのサイトを立ち上げ個人情報・パスワード得る,


戻る 『S』最初のメニュー