最近は、標的型攻撃やランサムウェアなど、システムに詳しい悪意を持った者の犯行により、企業の情報が漏えいしたり、情報にアクセスできなくなってしまう事例をよく耳にするようになりました。

しかし、情報漏えいは、人的な管理ミスや、うっかりミスなどに起因するものも少なくありません。

今回はその中でも「ソーシャルエンジニアリング」という用語をピックアップして説明してみたいと思います。

「ソーシャルエンジニアリング」とは、パソコンやネットワークなどといった、情報通信技術を利用せずに、企業の重要な情報を盗み出す方法のことを言います。

そんな「ソーシャルエンジニアリング」の中でも、今回は代表的な例である、「覗き見」と「なりすまし」の2つを紹介します。

覗き見

その名の通り、パソコンや紙の資料を、悪意を持ったものが覗き込むことによって、情報を盗み見する方法です。

肩越しから覗き見るその様子から「ショルダーハック」などとも呼ばれています。

新幹線の社内でPCを開いたり、満員電車の中で、スマホを用いてメールチェックをしたりしている人を見かけたことはないでしょうか。

周囲に悪意のある人が居ると、その情報を盗み見られてしまう可能性があります。

この覗き見に対しては、

• 社外で業務を行う場合は、できるだけ背後が壁になっている作業エリアを確保する
• 覗き見保護シートなどを活用する

などの対策がおすすめです。

なりすまし

社員や委託先になりすまして、パスワードなどを盗み聞く方法です。

例えば、業務を委託している委託先から、電話で「業務で利用しているパスワードを忘れたので、教えて欲しい」という連絡が来たとします。

それはひょっとすると、委託先になりすました悪意のある者かもしれません。

また、電話以外にも、例えば、従業員を装って、社内の情報システム部に対して「パスワードを忘れたので教えて欲しい」というメールを送信し、パスワードを盗み出す方法もあります。

企業の重要な情報は、こういった人間の管理ミス、うっかりミスから漏れてしまうケースがとても多いです。

ちょっとしたミスで情報が漏えいしないよう、十分に注意しましょう。