【そーしゃるえんじにありんぐ】
ソーシャルエンジニアリング とは?
💡 ハッカーより怖い「話術だけで情報を盗む人」
📌 このページのポイント
- パソコンへの不正侵入ではなく、人をだましてパスワードや情報を聞き出す手法
- 電話・メール・対面など技術に依存しない方法で行われることが多い
- 権威を装う(「IT部門の者ですが」)・焦らせる・親切心を利用するなど心理操作が核心
- 対策は技術より「教育・訓練」が有効で、疑う習慣を身につけることが重要
ひよこ ソーシャルエンジニアリングって社会学の話?
ペンギン先生 違うよ!人間の心理や行動の隙を突いて情報を盗み出す攻撃手法だよ。プログラムをハックするんじゃなくて、「人間をハック」するイメージだね。
ひよこ 具体的にどんなことをするの?
ペンギン先生 例えば電話で「IT部門の山田です。緊急メンテナンスのためパスワードを確認させてください」と言って聞き出したり、ゴミ箱から書類を漁って情報を得たり(ショルダーハッキング・トラッシング)、オフィスに「宅配業者です」と入り込んだりするんだ。
ひよこ そんなの騙されないでしょ?
ペンギン先生 意外と騙されるんだよ。「急いでいる」「上司命令だ」「助けてほしい」という状況を作ると、人は確認を怠って行動してしまうことが多いんだ。これが心理操作の核心だよ。
ひよこ 対策はどうすればいいの?
ペンギン先生 電話やメールで急かされても「一度確認します」と言って別の手段で本人確認する習慣が大切だよ。「公式の番号に折り返す」「上司に相談する」など、焦らず確認するルールを組織全体で決めておくんだ。
ひよこ どれだけ訓練しても騙されることってあるの?
ペンギン先生 残念ながらゼロにはできないんだ。高度な攻撃者はターゲットの組織・人間関係・業務フローを事前に調べ上げて、完璧に「内部の人」を演じてくることがある。だから「技術的な対策だけ万全にすれば安全」は幻想で、人的対策と技術的対策の両輪が欠かせない。著名なハッカーのケビン・ミトニックも「最大の脆弱性は人間だ」と言っているよ。
まとめ:ざっくりこれだけ覚えればOK!
ソーシャルエンジニアリングって出てきたら「人の心理を利用して情報を盗む詐欺的攻撃」と思えばだいたいOK!
📖 おまけ:英語の意味
「Social Engineering」 = 社会的工学・人的操作
💬 「Social(人・社会的)」な手段で「Engineering(目的を達成する)」こと。技術ではなく人間関係を「工作」する攻撃だよ