2022年4月23日 / 最終更新日時 : 2022年4月23日 SamenoTanaka 情報科学

ソーシャルエンジニアリング対策を考えよう

ネットワークを使わずに,個人情報や機密情報を盗むことをソーシャルエンジニアリングといいます.ソーシャルエンジニアリングは,人間の心理の隙や行動のミスを利用する攻撃手法です.

「自分には関係ないだろうなぁ」と考えている,そこのあなた!ソーシャルエンジニアリングは,社会人はもちろん,大学生もしっかりと対策すべきことです.大学生のサポートをする立場になることがありますが,隙だらけの大学生は意外と多いものです.意外なことが情報漏洩につながるので,ぜひ当事者意識を持って読んでください.

高校生や大学生をメイン読者として書いていますが,社会人になってからもトラブルにならないように,しっかりと対策を考えましょう.

今回の内容は極めて重要なことなので,特に重要なポイントを先にまとめておきます.

  • パスワード入力中の手元を見るな!見せるな!
  • 個人情報や機密情報の書かれた紙はシュレッダーなどで処理をしてから捨てましょう!
  • PCまわりにパスワードの書かれた紙を置かない!
  • 離席する時は,PCのスクリーンロックを必ず行うこと!
    (WindowsユーザーはWindowsキー+Lでスクリーンロック)

ショルダーハック

端末利用者の後ろに立ち入力装置を注視することで,入力されるパスワード等を覚える手法をショルダーハッキング(ショルダーハック,ショルダーサーフィン)といいます.

昔はATMで暗証番号を盗むときに使われていました.現在のATMは,後方確認用の凸面鏡の設置,パーティションの設置,覗き見防止機能のあるスクリーンなどで対策されています.

現在であれば,スマホのロック解除のための暗証コードや,PCのパスワードを盗むのに利用されることがあります.スマホであれば覗き見防止シートの利用,PCであればキーボードを凝視している人がいないかの確認といった対策が有効です.

逆にショルダーハッキングと勘違いされないために,パスワードを入力している人がいるときは,その人の手元から目をそらすようにしましょう.手元を凝視してくる大学生,たまにいます.普通に怖いです.

トラッシング

ゴミ箱から個人情報や機密情報の書かれた紙を探し出す手法をトラッシングといいます.攻撃を行う準備としてトラッシングが行われるケースもあります.

対策はシンプルで,シュレッダーにかける,紙を溶解するなどの対策が有効です.

どうやら,特定の組織を狙った標的型攻撃メールの準備として,トラッシングが行われることがあるようです(出典:ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト(総務省のサイト,2022年4月19日閲覧)).

電話で個人情報を聞き出す

電話で個人情報を聞き出す手法があります.

若い人はあまり引っかからない手口かと思います.
知らない番号からの電話に出ない人も多いですし,掛け直す前に,電話番号をGoogle検索で調べることで対策可能です.詳しくは先ほどの総務省のページで.

PCまわりにある個人情報の書いてある紙を見る

PCまわりにパスワードなどをメモした紙を置いている人,意外と多いです.もはやパスワードの意味がありません.

スクリーンロックのかかっていないPCを操作する

第3者が通る場所で,PCにスクリーンロックをかけずに離席する人,多すぎませんか!

社会人がこれをやるのは,セキュリティ意識が低すぎて,もう論外.
社会人以外でも危険です.特に大学生で,守秘義務のあるデータや,個人情報の書かれたファイルを持っている場合は極めて危険です.名簿を持っていたり,授業やインターンシップなどで,重要なデータを手にすることもあるでしょう.

スタバで名簿らしきものを開いたまま離席している人を見たことがあるのですが,破滅願望でもあるのでしょうか?

ロックのかかっていないPCは,当然ながら第3者が操作可能です.悪質な改ざんや機密情報の漏洩に繋がるので,すぐにやめましょう.悪意の高い第3者が居た場合,ラップトップ(ノートパソコン)ごと盗まれることもあります.

ちなみにラップトップの画面を閉じるだけでは,すぐにスクリーンロックされない場合があるので気をつけましょう.

また,Windowsを使っている人は,Windowsキー+Lで簡単にスクリーンロックできるため,離席前に必ず押すようにしましょう.

Macを使っている人は,⌘+control+Qでスクリーンロックが可能ですが,誤って⌘+Qだけ押してしまうと大惨事(使用中のアプリケーションの終了)になるので怖いですよね.そこは何とか頑張りましょう.

まとめ

以上,ソーシャルエンジニアリングについてまとめました.
読者の皆さんは,危ない行動をとっていませんでしたか?

情報セキュリティと聞くと,ネットワークにばかり気を取られてしまいますが,ネットワークを使わない攻撃も数多くあります.

ソーシャルエンジニアリングの標的にされないように,しっかりと対策をして生活しましょう.

最後にもう一度,特に重要な部分を再掲して終わりたいと思います.

  • パスワード入力中の手元を見るな!見せるな!
  • 個人情報や機密情報の書かれた紙はシュレッダーなどで処理をしてから捨てましょう!
  • PCまわりにパスワードの書かれた紙を置かない!
  • 離席する時は,PCのスクリーンロックを必ず行うこと!
    (WindowsユーザーはWindowsキー+Lでスクリーンロック)


カテゴリー
情報科学情報(高校)
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


数学

前の記事

複素数の基礎
2022年4月22日
数学

次の記事

平面上の内分点・外分点・重心の座標
2022年5月3日