"BOKU"のITな日常

62歳・文系システムエンジニアの”BOKU”は日々勉強を楽しんでます

IDとパスワードのメモを丸めてごみ箱へ捨てる!?それ、アウトです。/ソーシャルエンジニアリング

2019/04/24の記事のリライトです。

f:id:arakan_no_boku:20190417223259j:plain 

 

ソーシャルエンジニアリング

 

ハッキングは高度な知識を持った人間がプログラム等を駆使して、セキュリティを破っている・・ようなイメージがあります。

たしかに、そういうこともあるでしょう。

けど。

実際は、もう少し泥臭いものみたいです。

キーワードは「ソーシャルエンジニアリング」です。

www.soumu.go.jp

ソーシャルエンジニアリングは人間の心理の隙につけ込み、個人情報や機密情報を詐取する手法のことです。

具体的な手口の例で言えば。

  • 電話でシステム管理者になりすましてパスワードを聞き出す
  • 警察を名乗り個人情報を聞き出す
  • メールの文面でだます
  • 廃棄された紙ごみから機密情報を探る

などなど。

とても、アナログで泥臭い手法ですが、実際のハッキング事件では、驚くほど、この泥臭い手法が使われています。

 

伝説のハッカーの手口

 

実在した伝説のハッカーケビン・ミトニック氏は

企業システムにはさまざまなセキュリティソリューションが導入されているが、本当に対策を施すべき対象はユーザーである

と言っています。

こちらの記事でいろいろな手口の話をしてくれていますが。

news.mynavi.jp

引用すると。

一般ユーザーにパスワードを教えてもらう実験を行ったときの結果を紹介。

ペンを報酬にしてお願いしたところほぼ90%のユーザーがパスワードを教え、翌年、チョコレートに報酬を変えても70%のユーザーが教えてくれた

 とか

「ゴミは犯罪者には宝の山」と表現した。

「漁る際には、なるべく小さな袋を狙う」とポイントを挙げ、「小さく千切られていたら、それこそ怪しい。

コーヒーショップで復元作業をよくやっていた」

 とか。

これは、どんなに技術がすすんでも、改善されないセキュリティの穴です。

実際の話、IDやパスワードをメモなんて一度もしたことがない。

そう言い切れる人はいますかね?

スポット作業を頼まれたときに、IDとパスワードのメモを見ながら作業して、作業終了後に丸めてゴミ箱に捨てました・・とか・・これ、完全にアウトです。

狙われていれば・・。

 

 

今はSNSとかもあるしね

 

こんなのは論外ですが(笑)。

f:id:arakan_no_boku:20190417224518j:plain

情報システム部員が小遣いかせぎに悪いやつらに情報をもらしたりとか、酔いつぶれて饒舌になりすぎて情報を漏らしてしまったりとか、人間の隙はいくらでもあります。

今はSNSとかもありますしね。

つい、うっかり・・とか、いかにもありそうです。

こうなると。

ケビン・ミトニック氏みたいな凄腕のハッカーにかかると完全に防ぐのは難しいでしょうね。

とにかく、今のシステムって外からの攻撃には強いですが、不注意なひとりのPCが破られて社内ネットワークに入られると、もうやられ放題になってしまいます。

そういう面でも、そろそろ「ゼロトラストネットワーク」とかの導入も考えないといけないのかななんて思います。

arakan-pgm-ai.hatenablog.com

今回はこんなところです。

ではでは。