ホーム > ニッポンを守る技術 > ソーシャルエンジニアリング攻撃に打つ手はあるのか?
 

ソーシャルエンジニアリング攻撃に打つ手はあるのか?

ソーシャルエンジニアリングと聞くと、なんだか難しげな攻撃のように聞こえますが、実は、1番簡単なハッキング行為であるとも言えます。手法は多種多様で、よくある方法から、3重4重の罠が仕掛けられたプロの手口まで様々です。
 
たとえば、ある企業の機密情報がほしい場合に、高価で強固なセキュリティーシステムを導入しているネットワークを真正面から侵入・攻撃するのではなく、その企業によく出入りしている取引先の社員のパソコンをあらかじめハッキングして(コントロール下において)おき、その社員に成りすまして、お目当ての企業の社員に接近し、同じくパソコンをハッキングして、情報を盗んだりもします。
 
一見、面倒な手口のようにも見えますが、強固なシステムを何か月もかけて破る(突破する)よりは、ソーシャルエンジニアリングのほうがお金も期間も労力も削減できるケースが多々あります。ハッカー(犯罪組織)は、何かほしい情報がある場合、その情報を盗むために、最も効率的な方法で犯行に及びます。WEBアプリケーションやネットワークやワークステーションに欠点があれば、そこから侵入してきますし、逆に、どこにも弱点がない場合には、迷いなくソーシャルエンジニアリングをいくつかの手法で試してきます。
 
よく、社員の誰かが、ウイルスに感染する添付ファイルを開いてしまい、そこから社内全体に感染が広がるというケースがありますが、それもソーシャルエンジニアリング攻撃の1つです。社員数が1000人、5000人、1万人、などとなってくると、ガードの甘い社員が必ず何人かは出てきてしまうという脆弱性を狙った犯行です。
 
日本のセキュリティー会社には、ソーシャルエンジニアリングの攻撃に強い専門家が乏しいと言われており危惧されています。特に、中東、東欧、ロシア、中国の犯罪者は、このソーシャルエンジニアリングに力を入れている傾向があり、日本のように、高価で強固なセキュリティーシステムを導入している国に対して攻撃を仕掛けるとき、最も安くミッションを達成できる方法が、このソーシャルエンジニアリングだったりします。
 
何億円もかけて、外部からのあらゆる攻撃に備えたすばらしいセキュリティーシステムを導入していても、人(社員や公務員)のミスや裏切り行為により、ひとたび犯人が内部に侵入している状態になってしまうと、被害は早く大きくなる傾向にあります。たった30万円がほしいがために、犯罪者に情報を横流ししてしまうような社員もいれば、自分では気づかないうちにパソコンを乗っ取られ、犯行を手助けしてしまっている社員もいます。いずれにせよ、内部からの窃盗にも、対策しておくことをお勧めいたします。
 
イーライトでは、先述の国々をはじめ、いろいろな国におけるソーシャルエンジニアリングの手口や特徴の研究を続けております。それは即ち、あらゆる攻撃手法を想定して、実演訓練が行えるということになります。犯行の目的によって、繰り出してくる手口は異なりますし、種類も増えますので、それらに企業が一丸となって対処できるように、実戦(実際に世界で起きている犯行)さながらの実演訓練を通じて、
 

  • 社員教育の徹底と見直し
  • セキュリティーポリシーの見直し
  • 内部システムに残っている脆弱性の発見と修復

 
を定期的に繰り返していくことで、ソーシャルエンジニアリングやAPTに対して強固な体制が出来上がります。
 
IOT、第4次産業革命も含め、情報化社会はこの先も加速します。便利な側面が増すと同時に、サイバー犯罪に直面する可能性も増します。犯罪者も日々進化しますので、セキュリティー強化は、成長を継続するための必要コストとしてとらえ、定期的に行っていくべきだと考えています。

期間

1年に1回1か月間 (新入社員が入る時期)

よくあるご質問

Q, ソーシャルエンジニアリングの手口を知っていれば、侵入を防げますか?
A, 手口を勉強しておくことは、大切なことです。それにより、防げる侵入もたくさんあります。逆に、手口をすべて知っていたとしても、気が付けないこともあります。例えば、ウイルス対策ソフトを潜り抜けて怪しい添付ファイル付のメールが届いても、その添付を開かないということは100人中100人が実践できることだと思います。がしかし、家族や親友から届いたメールだったらどうでしょうか?家族や親友のスマホが、あらかじめ犯人に乗っ取られている状態で送られてきたメールかどうかの判断は、とても難しいです。したがって、手口をたくさん知っておくことと同時に、機密情報の保管場所やそれを知る人物の限定化、機密情報を閲覧する場合に複数名同時の承諾制、組織内のセキュリティーポリシーの見直し、有事の際の対応、などなど、多方面からの対策をおこなってはじめて、髙い可能性で侵入が防げるということになろうかと思います。

料金

お見積りを開始されたい方へ 
 (今の状況とご要望をお聞きし、お見積りをスタートします)

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。