ソーシャル・エンジニアリング
出典: フリー百科事典『ウィキペディア(Wikipedia)』
ソーシャル・エンジニアリングは、人間の心理的な隙をついて、個人が持つ秘密情報を聞き出す方法のこと。ソーシャル・ワークとも呼称される。
なお、今日喧しいフィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。
目次 |
[編集] 概要
元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどでコンピュータ本体に被害を加えず、パスワードを入手し不正に侵入(クラッキング)するのが目的。この意味で使用される場合はソーシャルハッキング、ソーシャルクラッキングとも言う。
以下のような方法が、よく用いられる。
- システム管理者などと身分を詐称してパスワードを聞きだす
- 本体を操作する人の後ろに立ち、パスワード入力の際のキーボード(もしくは画面)を短時間だけ凝視し、暗記する。
- キーボードの入力を記憶する不正なソフトウェア(キーロガー)を密かにインストールし、記録からパスワードを推測する。
- IDやパスワードが書かれた紙(付箋紙など)を瞬間的に見て暗記し、メモする。
- 特定のパスワードに変更することで特典が受けられるなどの偽の情報を流し、パスワードを変更させる(日本において、この手法でパスワードを不正入手した未成年が2007年3月に書類送検されている)。
[編集] カード詐欺
現在はパスワードだけでなく、クレジットカードなどの番号を盗んだり、家族に詐称して金を振り込ませる(振り込め詐欺)など詐欺の手口にも使われる。
キャッシュカードについて暗証番号を聞き出し、盗難カードや偽造カードで不正出金を行う手口にも用いられる。電話で連絡を取り、
- 警察を名乗り、逮捕した不審者が持っていたカードの確認を行うために暗証番号を聞き出す
- 信販会社を名乗り、手違いで余分に引き落とした決済金を口座に返金するために暗証番号を聞き出す
暗証番号は、カードの会社・金融機関等が用意した端末以外に入力するべきではない。カードの会社等の担当者ですら、聞く事はあり得ないと言ってよい(暗号化されており解析不可能)。暗証番号は自分の脳内にのみ記憶し、他の物に書き込んだり、いかなる人間であろうと教えるべきではない。
[編集] 手口の一例
個人情報を聞き出す為にも用いられる。電話で連絡を取り、
- 学校の同級生の親族を名乗り、本人や他の同級生の住所や電話番号を聞き出す
- 宅配便を名乗り、住所が良く判らないという口実で正確な住所を聞き出す
[編集] 関連項目
- コンピュータセキュリティ
- パスワード
- フィッシング (Phishing fraud)
