用語解説辞典

用語解説辞典 知りたい用語はここで検索

用語解説辞典トップに戻る

【ソーシャルエンジニアリング】

  • ソーシャルクラッキング
  • ソーシャルハッキング

 コンピュータ・システムやネットワークなどの、ユーザーID やパスワードを盗み出す手法を表す言葉。

 他人のユーザーID やパスワードを盗んでコンピュータ・ネットワークに不正アクセスし、情報を盗み出したり、システムを破壊したりする行為をハッキングとかクラッキングという。そして、そのために ID やパスワードを盗む方法は大きく2種類に分けられる。

 まず、専用プログラムでパスワードを解析したり、機械的に入力し続けてパスワードを探したり、キーロガーなどの悪質なプログラムで盗み取るといった方法。これらは、コンピュータ技術を悪用した手法だ。

 一方、こうした技術に依存しないで、人間の心理や判断ミスを利用して ID やパスワードを入手する方法がある。これらを総称して、ソーシャルエンジニアリング、ソーシャルクラッキング、ソーシャルハッキングという。どの言い方でも意味は同じだ。

 たとえば企業システムの場合、システム管理者を装って利用者に電話して「確認のため、現在のパスワードを言ってください」といって聞き出す方法がある。逆に、コンピュータ操作が苦手なふりをしてシステム管理者に連絡し、パスワードを聞き出したり、パスワードを変更してもらったりする手もある。

 一般のインターネットユーザーを対象にしたものだと、大手企業の名をかたった電子メールを送り、システムトラブルやシステムの更新を理由にパスワードを返信させる手法がある。あるいは、そうしたメールから偽のウェブサイトに誘導してパスワードを入力させる方法もある。

 また、昔から効果が高いと言われているのが、掃除夫を装ってオフィスに侵入し、パソコンのモニターの脇に貼ってある付箋を盗み見る、ゴミ箱に捨てられた書類から情報を得る。さらには、ゴミ収集場に出されたゴミを漁るといった方法だ。

 あるいは、銀行の ATM で後ろから暗証番号を盗み見る。カフェなどでノートパソコンを開いた人の後ろから手の動きを見てパスワードを盗むといった方法もある。

 さらには、銀行員や警察官を名乗って電話をかけて銀行口座の暗証番号を聞き出したり、友人知人のふりをして個人宅に電話して家族から個人情報を聞き出すのもソーシャルエンジニアリングの一種とされている。

 どれも、自分は大丈夫と思いがち。だけど、実際に被害が発生しているし、振り込め詐欺でも同様の手法が使われている。

その一覧に戻る

用語解説:下島 朗(株式会社エントラータ)監修

page top