🔒 ITパスポート | セキュリティ
ソーシャルエンジニアリングとは?
技術を使わずに、人の心理・行動を突いてパスワードや機密情報を盗み出す攻撃手法。
🎬 こんなシーンを想像
ある朝、社員に「システム管理者の鈴木です。緊急のセキュリティ確認のためパスワードを教えてください」という電話がかかってきた。本物っぽいが少し変…
…これ、まさにソーシャルエンジニアリング!
🃏 代表的な手口4種
🗺️ 攻撃から被害までの流れ
① 情報収集(下調べ)
SNS・会社HPで組織図・担当者名・業務内容を把握する。
▼
② 接触・信頼獲得
得た情報を使って「本物らしさ」を演出し、相手を安心させる。
▼
③ 情報引き出し・侵入
「緊急だから今すぐパスワードを」などと焦りを煽り、情報を入手。不正アクセスへ。
⚠️ ひっかけ注意ポイント
フィッシングと混同しやすい
フィッシングは「偽サイト・偽メールでIDを入力させる」技術的手口。ソーシャルエンジニアリングは「人を騙す心理的手口」。ただしフィッシングもソーシャルエンジニアリングの一種とされる場合があるので注意。
「技術的な攻撃」と言えない
ソーシャルエンジニアリングはプログラムやツールを使わない。「人間を騙す」ことが本質。技術的な対策(ファイアウォール等)では防げない点が問われる。
対策はルール+教育
「電話でパスワードを聞かれても絶対に答えない」「第三者への情報開示禁止ルール」「全社員への定期的なセキュリティ教育」が正解。技術ツールだけで解決しようとするのは誤り。
🧠 覚え方(無理やりゴロ)
「社会(ソーシャル)の仕組み=人間関係・役職」を使って騙す
技術ゼロで情報ゲット=「話術エンジニア」
なりすまし・のぞき見・ゴミ漁り・電話詐欺 → 全部「人を騙す技」