ネットワーク・セキュリティー講座

第12回 「 ソーシャルエンジニアリング 」

(2006/7/19)

「振り込め詐欺」もソーシャルエンジニアリングの1つ

警察庁の発表によると、いわゆる「振り込め詐欺」の被害総額は年間250億円〜290億円にもなるそうです。2006年5月の1カ月間だけでも、なんと18億円を超えています。振り込め詐欺とは、たとえば、高齢者に電話をかけて孫や息子と偽り、交通事故の示談金が必要になったと言いくるめてお金を振り込ませる、警察官や弁護士と偽って「ご主人の痴漢行為の示談金が必要です」などと言葉巧みに騙してお金を振り込ませるものです。

さて、こういった手口の詐欺の特長は、多くの人が騙されやすい事象、一般の社会生活において起こりうる、多くの人たちが遭遇しうる事柄をでっち上げているところです。「特別ではない」のですね。このように、「一般の社会生活におけるさまざまな事象を巧みに利用する」攻撃手法が、じつはITシステムにおいても数多く存在します。それらを総称して「ソーシャルエンジニアリング」と呼びます。

ソーシャルエンジニアリングとは、もともとは学問の一分野で日本語では「社会工学」というように翻訳されていました。しかし、ITシステムのセキュリティーに関連してこの言葉が用いる場合には、「社会生活におけるさまざまな手法でセキュリティーにおいて重要な情報を盗み出す行為」とされています。つまり、ハッキングやクラッキングといった「ITを駆使した」「特別な手法」ではなく、たとえば「システム管理者を装って、言葉巧みに騙し、IDとパスワードを聞き出す」など「社会生活におけるさまざまな手法」を用いることから「ソーシャルエンジニアリング」と呼ばれているのです。

ITの高度な技術は使わずに「盗み見る」「騙して聞き出す」

それでは、ソーシャルエンジニアリングにおける手法とは、いったいどのようなものがあるでしょうか。たとえば、企業におけるネットワーク管理者やシステム管理者、そして実際の利用者などの「会話を盗み聞くなどしてIDやパスワードを不正に入手する」、ある利用者がIDとパスワードを入力するところを「後ろからこっそりと盗み見る」などが考えられます。

その他にも、オフィスから出る書類のゴミを集めて、そこからIDやパスワードを推察する手がかりを見つけ出したり、重要な顧客情報や取引先の情報、個人情報などが書かれた書類やメモを探り出したりする行為もソーシャルエンジニアリングの代表的な手法とされています。

また、企業の社員を偽り、さもネットワークの利用がうまくいかないといった緊急事態を装い、システム管理者にIDとパスワードの変更を依頼して、まんまと新しいIDとパスワードを手に入れるといった手口も考えられます。たとえば、不特定多数に電子メールを送りつけて、そのメールに記載したURLから偽のホームページに誘導して、IDとパスワードを入力させるといった「フィッシング詐欺」の手法もソーシャルエンジニアリングの1つです。

コンプライアンスや内部統制においてもソーシャルエンジニアリングへの対処が求められる

このように、ソーシャルエンジニアリングの手法は、日常生活の中で起こりうる、さまざまな事象をもとにしています。振り込め詐欺でも、複数人が警察官や弁護士と役割分担して、その手口が高度化・巧妙化してきているように、ITシステムにおけるソーシャルエンジニアリングの手法も、新しい手口が次々に生み出され、ますます巧妙な騙しのテクニックが編み出されていくことは容易に想像できます。しかも、ソーシャルエンジニアリングの恐ろしいところは、IDやパスワードなどの重要な情報を、その情報を管理している「本人」を騙して、その本人から「直接に（騙して）聞き出してしまう」ケースが多いということです。これでは、いくら技術的に堅牢で強固なセキュリティーシステムを構築して「ハッカーやクラッカーからの攻撃を防いでみせる！」としても、そのセキュリティーシステムは意味をなしません。

そこで今、ITシステムのセキュリティーにおいて、あらためて重要視されているのがソーシャルエンジニアリングへの対応です。個人確認を徹底する、組織内での機密情報の管理ルールを厳しく規定する、重要情報の取り扱いに関する「社員教育」を徹底するなどの対策が求められているのです。重要書類を「ポイ」とデスクの脇のゴミ箱に捨てているようでは、そこから情報が漏えいする危険性も十分に考えられます。「必ずシュレッダーにかけて複数のゴミ袋に小分けして捨てる」といった規則を設ける必要があります。ソーシャルエンジニアリングへの対処は、企業の社会的責任、コンプライアンス、そして内部統制の確立といった視点でも、今、あらためて重要視されているのです。