心配すべきオンラインの脅威はマルウェアだけではありません。ソーシャル エンジニアリングは大きな脅威であり、どのオペレーティング システムでも被害を受ける可能性があります。実際、ソーシャル エンジニアリングは電話や対面の状況でも発生する可能性があります。
ソーシャル エンジニアリングを認識し、警戒することが重要です。セキュリティ プログラムではほとんどのソーシャル エンジニアリングの脅威からユーザーを保護できないため、自分自身を守る必要があります。
ソーシャルエンジニアリングの説明
従来のコンピュータベースの攻撃は、多くの場合、コンピュータのコード内の脆弱性の発見に依存しています。たとえば、古いバージョンの Adobe Flash を使用している場合、あるいは、シスコによれば 2013 年の攻撃の 91% の原因となった Java を 使用している場合、悪意のある Web サイトにアクセスして、その Web サイトはソフトウェアの脆弱性を悪用してコンピュータにアクセスする可能性があります。攻撃者は、おそらくキーロガーをインストールして、ソフトウェアのバグを操作してアクセスし、個人情報を収集します。
ソーシャル エンジニアリングのトリックは、代わりに心理的操作が関与するため、これとは異なります。言い換えれば、ソフトウェアではなく人間を搾取しているのです。
おそらく、ソーシャル エンジニアリングの一種である フィッシング についてはすでに聞いたことがあるでしょう。銀行、クレジット カード会社、またはその他の信頼できる企業から送信されたと主張する電子メールを受信する場合があります。 本物のように見せかけた偽の Web サイト に誘導されたり、悪意のあるプログラムのダウンロードとインストールを求められたりする場合があります。ただし、このようなソーシャル エンジニアリングのトリックには、偽の Web サイトやマルウェアが関与している必要はありません。フィッシングメールは、単に個人情報を記載したメールの返信を求めるものである場合があります。ソフトウェアのバグを悪用しようとするのではなく、人間の通常のやり取りを悪用しようとします。 スピア フィッシングは 、特定の個人をターゲットにするように設計されたフィッシングの一種であるため、さらに危険である可能性があります。
ソーシャルエンジニアリングの例
チャット サービスやオンライン ゲームでよく使われる手口の 1 つは、「管理者」などの名前でアカウントを登録し、「警告: 誰かがあなたのアカウントをハッキングしている可能性を検出しました。本人認証のためパスワードを入力して応答してください。」のような恐ろしいメッセージを人々に送信することでした。ターゲットがパスワードを使って応答した場合、ターゲットはそのトリックにはまり、攻撃者はそのアカウントのパスワードを入手したことになります。
誰かがあなたの個人情報を持っている場合、それを使用してあなたのアカウントにアクセスする可能性があります。たとえば、生年月日、社会保障番号、クレジット カード番号などの情報は、個人を特定するためによく使用されます。誰かがこの情報を持っている場合、企業に連絡してあなたになりすます可能性があります。このトリックは、攻撃者が Sarah Palin の Yahoo! にアクセスするために使用したことで有名です。 2008 年にメール アカウントを作成し、Yahoo! のパスワード回復フォームを通じてアカウントにアクセスするために十分な個人情報を送信しました。企業が認証するために必要な個人情報を持っている場合は、電話でも同じ方法を使用できます。ターゲットに関する何らかの情報を持っている攻撃者は、そのターゲットになりすまして、より多くのものにアクセスできるようになります。
ソーシャル エンジニアリングは個人的にも使用できます。攻撃者は企業に侵入し、権威ある説得力のある口調で自分が修理担当者、新入社員、または消防検査官であることを秘書に伝え、その後ホールを歩き回り、企業スパイ活動を行うために機密データを盗んだり、バグを植えたりする可能性があります。このトリックは、攻撃者が自分自身を別の人物のように見せかけることに依存します。秘書、ドアマン、その他の担当者が質問しすぎたり、注意深く見すぎたりしなければ、このトリックは成功します。
ソーシャル エンジニアリング攻撃は、偽の Web サイト、詐欺メール、悪質なチャット メッセージから、電話や対面での誰かになりすますまで、多岐にわたります。これらの攻撃はさまざまな形で行われますが、心理的な策略に依存しているという共通点があります。ソーシャルエンジニアリングは心理操作の技術と呼ばれています。これは 、「ハッカー」が実際にオンラインのアカウントを「ハッキング」する主な方法 の 1 つです。
ソーシャルエンジニアリングを回避する方法
ソーシャル エンジニアリングの存在を知ることは、ソーシャル エンジニアリングと戦うのに役立ちます。個人情報を要求する迷惑メール、チャット メッセージ、電話には疑ってください。財務情報や重要な個人情報を電子メールで公開しないでください。たとえ電子メールが重要であると主張していたとしても、潜在的に危険な電子メールの添付ファイルをダウンロードして実行しないでください。
また、電子メール内の機密性の高い Web サイトへのリンクをクリックしないでください。たとえば、銀行から送信されたように見える電子メール内のリンクをクリックしてログインしないでください。銀行のサイトを装った偽のフィッシング サイトに誘導される可能性がありますが、 URL は微妙に異なります 。代わりに、Web サイトに直接アクセスしてください。
不審な要求 (銀行からの電話で個人情報を要求されるなど) を受け取った場合は、要求の発信元に直接連絡して確認を求めてください。この例では、銀行を名乗る人物に情報を漏らすのではなく、銀行に電話して何が欲しいのか尋ねます。
電子メール プログラム、Web ブラウザ、およびセキュリティ スイートには通常、既知のフィッシング サイトにアクセスしたときに警告を発するフィッシング フィルターが備えられています。彼らができることは、既知のフィッシング サイトにアクセスしたとき、または既知のフィッシング メールを受信したときに警告することだけであり、そこにあるすべてのフィッシング サイトやメールについて知っているわけではありません。ほとんどの場合、自分自身を守るのはあなた次第です。セキュリティ プログラムはほんの少ししか役に立ちません。
個人データの要求やその他のソーシャル エンジニアリング攻撃の可能性があるものに対処するときは、健全な疑いを抱くことをお勧めします。疑いと警戒は、オンラインでもオフラインでもあなたを守るのに役立ちます。
画像クレジット: Flickr の Jeff Turnet
