ソーシャル エンジニアリングとは: 定義、攻撃
ソーシャルエンジニアリングとは何ですか?手段
ソーシャル エンジニアリングは、コンピューター システムのユーザーを操作して、コンピューター システムへの不正アクセスに使用できる機密情報を暴露させる技術です。 この用語には、人間の優しさ、貪欲、好奇心を悪用して立ち入り制限のある建物にアクセスしたり、ユーザーにバックドア ソフトウェアをインストールさせたりする行為も含まれる場合があります。
ハッカーがユーザーを騙して重要なログイン情報などを漏らすために使用するトリックを知ることは、コンピュータシステムを保護する上で基本となる。
このチュートリアルでは、一般的なソーシャル エンジニアリング手法と、それに対抗するセキュリティ対策を考案する方法を紹介します。
ソーシャルエンジニアリングはどのように機能するのでしょうか?
ここに、
- 情報を収集する: これは最初の段階で、対象となる被害者についてできる限り多くのことを学びます。 情報は企業の Web サイトやその他の出版物から収集され、場合によっては対象システムのユーザーとの対話によって収集されます。
- 攻撃を計画する: 攻撃者は、攻撃を実行する意図を説明します。
- ツールを入手する: これらには、攻撃者が攻撃を開始するときに使用するコンピューター プログラムが含まれます。
- 攻撃: ターゲット システムの弱点を悪用します。
- 得た知識を活用する: ソーシャル エンジニアリング戦術で収集されたペットの名前、組織創設者の生年月日などの情報は、パスワード推測などの攻撃に使用されます。
ソーシャル エンジニアリング攻撃の種類
ソーシャル エンジニアリング手法にはさまざまな形があります以下は、よく使用されるテクニックのリストです。
馴れ合いの悪用:
ユーザーは、よく知っている人に対して不信感を持ちにくくなります。攻撃者は、ソーシャル エンジニアリング攻撃の前に、ターゲット システムのユーザーをよく知ることができます。攻撃者は、食事中、ユーザーが喫煙しているとき、社交イベントなどに参加するときにユーザーと対話する可能性があります。これにより、攻撃者はユーザーに馴染みやすくなります。ユーザーが、アクセスするためにアクセス コードまたはカードが必要な建物で働いていると仮定します。攻撃者は、そのような場所に入るユーザーを追跡する可能性があります。ユーザーは慣れ親しんでいるため、攻撃者が侵入できるようにドアを開けたままにしておく傾向があります。攻撃者は、配偶者とどこで出会ったのか、高校の数学教師の名前などの質問に対する答えを求めることもあります。ユーザーはよく知っている顔を信頼しているため、答えを明らかにする可能性が最も高くなります。この情報は次の目的で使用できます。 メールアカウントをハッキングする パスワードを忘れた場合に同様の質問をする他のアカウントも同様です。
脅迫的な状況:
人は周囲の人を威圧する人を避ける傾向があります。この手法を使用すると、攻撃者は電話で、または計画の共犯者と激しい議論をしているふりをする可能性があります。その後、攻撃者はユーザーのシステムのセキュリティを侵害するために使用される情報をユーザーに要求する可能性があります。ユーザーは、攻撃者との衝突を避けるためだけに正しい答えを与える可能性が高くなります。このテクニックは、保安検査場での検査を回避するためにも使用できます。
フィッシング:
この手法では、策略と欺瞞を使用してユーザーから個人データを取得します。ソーシャル エンジニアは、Yahoo などの本物の Web サイトになりすまして、何も知らないユーザーにアカウント名とパスワードの確認を求める可能性があります。この手法は、クレジット カード情報やその他の貴重な個人データを取得するためにも使用される可能性があります。
共連れ:
この手法では、ユーザーが制限区域に入るときに後をついて回ります。人間としての礼儀として、ユーザーはソーシャル エンジニアを制限区域内に入れてしまう可能性が高くなります。
人間の好奇心を活用する:
この手法を使うと、ソーシャルエンジニアはウイルスに感染したフラッシュディスクをユーザーが簡単に拾える場所にわざと落とすことができます。ユーザーはフラッシュディスクをコンピューターに挿入する可能性が高いです。フラッシュディスクはウイルスを自動的に実行するか、ユーザーは従業員のような名前のファイルを開こうとするかもしれません。 Revaluation Report 2013.docx は実際には感染したファイルである可能性があります。
人間の貪欲を悪用する:
この手法を使用すると、ソーシャル エンジニアは、フォームに入力することでオンラインで大金が稼げると約束してユーザーを誘惑し、クレジットカード情報などを使用して詳細を確認します。
ソーシャルエンジニアリング攻撃を防ぐには?
あらゆる種類のソーシャル エンジニアリング攻撃から保護するための重要な方法をいくつか紹介します。
- 不明な USB をコンピュータに接続しないでください。
- 電子メールやメッセージ内のリンクは絶対にクリックしないでください。
- 強力なパスワード(およびパスワード マネージャー)を使用してください。
- 多要素認証を使用します。
- オンラインのみで友人関係を築く場合は十分に注意してください。
- すべてのソフトウェアを最新の状態に保ちます。
- コンピューティング デバイスを保護します。
- ウイルス対策ソフトを購入する。
- データを定期的にバックアップしてください。
- 機密文書は定期的に破棄してください。
- VPNを使用する。
- ラップトップをロックする
ソーシャルエンジニアリング対策
ソーシャルエンジニアが使用するテクニックのほとんどは、人間の偏見を操作するものである。 このような手法に対抗するために、組織は次のことを行うことができます。
- 馴れ合い攻撃に対抗するには、ユーザーはセキュリティ対策の知識を代用しないようにトレーニングする必要があります。 たとえよく知っている人であっても、特定の領域や情報にアクセスする権限があることを証明する必要があります。
- 脅迫的な状況攻撃に対抗するために、 ユーザーは、機密情報を漁るソーシャル エンジニアリング手法を特定し、丁寧にノーと言えるように訓練されなければなりません。
- フィッシング手法に対抗するには、Yahoo などのほとんどのサイトは安全な接続を使用して、 データを暗号化する そして、彼らが主張する本人であることを証明します。 URL をチェックすると偽サイトを特定できる可能性があります. 個人情報の提供を求めるメールには返信しないでください.
- あおり攻撃に対抗するには、 ユーザーは、他人が自分のセキュリティ許可を使用して制限エリアにアクセスできないように訓練されなければなりません。 各ユーザーは独自のアクセス許可を使用する必要があります。
- 人間の好奇心に対抗するために、拾ったフラッシュディスクをに提出することをお勧めします。 ウイルスやその他の感染がないかスキャンする必要があるシステム管理者 できれば隔離されたマシン上で。
- 人間の欲望につけ込む手法に対抗するために、従業員は次のことを行う必要があります。 訓練された このような詐欺に引っかかる危険性について。
まとめ
- ソーシャル エンジニアリングは、人間の要素を悪用して未承認のリソースにアクセスする技術です。
- ソーシャル エンジニアは、さまざまなテクニックを使ってユーザーをだまして機密情報を暴露させます。
- 組織には、ソーシャル エンジニアリング対策を備えたセキュリティ ポリシーが必要です。