ホームページ » の仕方 » ソーシャルエンジニアリングとは何ですか、またどのように回避できますか?

    ソーシャルエンジニアリングとは何ですか、またどのように回避できますか?

    心配する唯一のオンラインの脅威はマルウェアではありません。ソーシャルエンジニアリングは大きな脅威であり、あらゆるオペレーティングシステムに打撃を与える可能性があります。実際、ソーシャルエンジニアリングは電話でも対面でも発生する可能性があります。.

    ソーシャルエンジニアリングを意識し、見張りをすることが重要です。セキュリティプログラムでは、ほとんどのソーシャルエンジニアリングの脅威からあなたを保護することはできません。そのため、自分自身を保護する必要があります。.

    ソーシャルエンジニアリングの説明

    従来のコンピュータベースの攻撃は、コンピュータのコードの脆弱性を見つけることに依存していることがよくあります。たとえば、Ciscoによると2013年の91%の攻撃の原因となっていた、古いバージョンのAdobe Flash、または禁じられているJavaを使用している場合、悪意のあるWebサイトおよびそのWebサイトにアクセスできます。あなたのコンピュータのアクセス権を得るためにあなたのソフトウェアの脆弱性を悪用するでしょう。攻撃者は、おそらく彼らがインストールしたキーロガーを使って、ソフトウェアのバグを操作してアクセスし、個人情報を収集している。.

    ソーシャルエンジニアリングのトリックは、心理的な操作を伴うという点で異なります。言い換えれば、彼らは彼らのソフトウェアではなく人々を悪用するのです。.

    あなたはおそらくすでにフィッシング詐欺の話を聞いたことがあります。これはソーシャルエンジニアリングの一種です。あなたはあなたの銀行、クレジットカード会社、あるいは他の信頼できる会社からであると主張するEメー​​ルを受け取るかもしれません。本物のように見せかけた偽のWebサイトに誘導したり、悪質なプログラムをダウンロードしてインストールするよう依頼する可能性があります。しかし、そのようなソーシャルエンジニアリングのトリックには、偽のWebサイトやマルウェアが含まれる必要はありません。フィッシングメールは単に個人情報を含むメールの返信を送るようにあなたに求めるかもしれません。ソフトウェアのバグを悪用するのではなく、人間の通常のやり取りを悪用しようとします。スピアフィッシングは、特定の個人を標的とするように設計されたフィッシングの一種であるため、さらに危険な場合があります。.

    ソーシャルエンジニアリングの例

    チャットサービスやオンラインゲームでよく使われるトリックの1つは、「管理者」のような名前でアカウントを登録し、「警告:アカウントをハッキングしている可能性があります。ターゲットが自分のパスワードで応答した場合、彼らはトリックを怠り、攻撃者は自分のアカウントのパスワードを手に入れたことになります。.

    誰かがあなたに関する個人情報を持っている場合、彼らはあなたのアカウントにアクセスするためにそれを使用することができます。たとえば、生年月日、社会保障番号、クレジットカード番号などの情報が、あなたを識別するためによく使用されます。誰かがこの情報を持っている場合、彼らはビジネスに連絡してあなたのふりをすることができます。このトリックは、Sarah PalinのYahoo!にアクセスするために攻撃者によってよく使用されていました。 2008年のメールアカウント、Yahoo!のパスワード回復フォームを通じてアカウントにアクセスするのに十分な個人情報を送信します。あなたがビジネスがあなたを認証するのに必要とする個人情報を持っているならば、同じ方法が電話をかけるために使われることができました。ターゲットに関する情報を持った攻撃者は、それらのふりをしてより多くのものにアクセスする可能性があります。.

    社会工学も個人的に使用することができます。攻撃者は、企業に侵入し、修理担当者、新入社員、または消防士であることを権威ある説得力のある口調で伝え、その後、ホールをローミングして企業のスパイ活動を行うために機密データまたは植物のバグを盗む可能性があります。このトリックは、攻撃者が自分ではない人物として自分自身を提示することにかかっています。秘書、ドアマン、または他の誰かが担当している人があまりにも多くの質問をしたり、見すぎたりしていなければ、このトリックは成功するでしょう。.

    ソーシャルエンジニアリング攻撃は、さまざまな偽のWebサイト、不正な電子メール、および不正なチャットメッセージにいたるまで、電話や対面で誰かになりすましていることがあります。これらの攻撃は多種多様な形で起こりますが、それらには共通点が1つあります - それらは心理的なトリックに依存します。ソーシャルエンジニアリングは心理的操作の技術と呼ばれてきました。これは、オンラインの「ハッカー」が実際にアカウントを「ハッキング」する主な方法の1つです。.

    ソーシャルエンジニアリングを回避する方法

    ソーシャルエンジニアリングが存在することを知っていれば、それを克服するのに役立ちます。求められていないEメール、チャットメッセージ、および個人情報を要求する電話を疑ってください。財務情報や重要な個人情報をEメールで決して公開しないでください。潜在的に危険なEメールの添付ファイルをダウンロードして実行しないでください。.

    また、電子メール内の機密性の高いWebサイトへのリンクをたどってはいけません。たとえば、銀行から送信されているように見える電子メール内のリンクをクリックしないでください。銀行のサイトのように偽装された偽のフィッシングサイトに移動することがありますが、そのURLは微妙に異なります。代わりにウェブサイトに直接アクセスしてください.

    たとえば、銀行からの電話で個人情報が要求されるなど、疑わしい要求があった場合は、要求の送信元に直接連絡して確認を求めます。この例では、あなたの銀行であると主張する誰かに情報を漏らすのではなく、あなたの銀行に電話をかけて彼らに何が欲しいのか尋ねます。.

    電子メールプログラム、Webブラウザ、およびセキュリティスイートには、一般に、既知のフィッシングサイトにアクセスしたときに警告するフィッシングフィルタがあります。既知のフィッシングサイトにアクセスしたり、既知のフィッシングメールを受信したりしたときに警告が表示されるだけです。ほとんどの場合、自分自身を保護するのはあなた次第です - セキュリティプログラムはほんの少ししか助けになりません.


    個人データの要求やその他のソーシャルエンジニアリング攻撃につながる可能性があるものを処理するときには、健全な疑いを抱くことをお勧めします。疑いと注意はオンラインとオフラインの両方であなたを守るのに役立ちます.

    Image Credit:FlickrのJeff Turnet