対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★★★
ランクS(必須・超頻出)
用語の定義
ソーシャルエンジニアリングとは、一言で言うと「人間の心理的な隙や行動の癖を突いて、機密情報を不正に入手する手法」のことです。
イメージとしては、「オレオレ詐欺や振り込め詐欺のIT版」と同じです。
高度なハッキング技術を使わなくても、「IT部門の者ですがパスワードを教えてください」と電話したり、肩越しに画面を覗き見したりするだけで、重要な情報が盗まれてしまいます。技術ではなく「人」を攻撃する手法です。
解説
ソーシャルエンジニアリングは、どれだけ高度なセキュリティシステムを導入しても、最終的に「人間」という弱点を突く攻撃です。技術的対策だけでは防ぎきれないため、情報セキュリティにおいて非常に重要な脅威として位置づけられています。代表的な手口は以下の通りです。
- なりすまし電話(プリテキスティング): システム管理者や取引先を装って電話し、パスワードや個人情報を聞き出す
- ショルダーハッキング: 背後や横から画面やキーボード入力を覗き見してパスワードなどを盗む
- トラッシング(ゴミ箱あさり): 廃棄された書類やメモ、記憶媒体から機密情報を入手する
- フィッシング: 偽のメールやWebサイトで本物と誤認させ、IDやパスワードを入力させる
- テールゲーティング(共連れ): 入退室時に正規の社員の後ろについて不正に入室する
ソーシャルエンジニアリングは、人間の「信頼しやすい」「急かされると焦る」「権威に弱い」といった心理的特性を悪用します。そのため、技術的対策に加えて、従業員一人ひとりのセキュリティ意識を高めることが最も効果的な対策となります。
具体的な活用例・対策
ソーシャルエンジニアリングを防ぐために、以下のような対策が有効です。
- セキュリティ教育・訓練: 手口を具体的に紹介し、不審な問い合わせへの対処法を周知徹底する
- 本人確認の徹底: 電話やメールでの情報提供依頼には、必ず折り返し確認するルールを設ける
- クリアデスク・クリアスクリーン: 離席時は画面ロック、机上に機密書類を放置しない
- シュレッダーの使用: 機密書類は必ずシュレッダーで裁断してから廃棄する
- 入退室管理の強化: ICカード認証や共連れ防止ゲートの導入、来訪者の身元確認
- プライバシーフィルター: ノートPCの画面に覗き見防止フィルムを貼る
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験のすべてで超頻出です。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- ショルダーハッキング(覗き見)
- トラッシング(ゴミ箱あさり)
- なりすまし・プリテキスティング
- フィッシング・スピアフィッシング
- テールゲーティング(共連れ)
- クリアデスク・クリアスクリーン
試験問題で「人間の心理的な弱点を利用して情報を詐取する」「技術的手段を使わずにパスワードを入手する」といった記述があれば、それは「ソーシャルエンジニアリング」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ソーシャルエンジニアリングに関する説明として、最も適切なものはどれでしょうか?
- A. ネットワークの脆弱性を突いてシステムに不正侵入し、データを改ざんする攻撃手法
- B. 人間の心理的な隙や行動の癖を利用して、パスワードなどの機密情報を不正に入手する手法
- C. 大量のアクセスを集中させてサーバーをダウンさせ、サービスを停止に追い込む攻撃手法
正解と解説を見る
正解:B
解説:
ソーシャルエンジニアリングとは、技術的な手段ではなく、人間の心理的な弱点を突いて機密情報を不正に入手する手法です。なりすまし電話、ショルダーハッキング(覗き見)、トラッシング(ゴミ箱あさり)などが代表的な手口です。
Aは不正アクセスやハッキング、Cは「DoS攻撃・DDoS攻撃」の説明です。ソーシャルエンジニアリングの特徴は「技術ではなく人を狙う」点にあることを覚えておきましょう。
