これが一番厄介・・・
INTERNET Watchの記事に、 ソーシャル・エンジニアリング~ヒューマンハッキングの実態とは てのがありました。
最近不正アクセスのニュースなんかが増えてますけど、そもそも不正アクセスにはIDとパスワードが必要だったりします。それを突破する方法としてブルートフォースや辞書アタックなんかもありますけど、その中の1つにソーシャルエンジニアリングがあります。
「そーしゃるえんじにありんぐ?」
「ナニソレ?( ゚ ρ ゚ ) オイシイの?」
的な人もいらっしゃるかもしれませんが、簡単にいえばコンピューターを使った技術的なハックじゃなくて、人がやるハックのことです。例えば、IDとパスワードをキーボードで打っている人の後ろに立って、それを盗み見るとかってことですよ。誰でも簡単にできちゃうことですね。
記事ではその方法として、Phishing(フィッシング)、Phone Elicitation(電話による詐欺)、Tail Gating / Impersonation(なりすまし)を挙げてますが、どれも技術的に難しいことはなくて、PCのスキルがなくても出来る事ばかりです。
記事中にもある通り、
「なぜ、ハッカーはソーシャル・エンジニアリングを使うのかというと、簡単だからです」
これが全てですね。そして付け加えるとすれば、簡単な上に「確実」だということがあります。IDとパスをブルートフォースでアタックするとなると、かなりの時間と労力が必要ですが、先程例として挙げたように、後ろから覗き見ることが出来れば一瞬で終わりです。
かのケビン・ミトニックをして 「セキュリティにおける真の問題は人間」 と言わしめるほど、ソーシャルエンジニアリングには注意が必要です。皆様もPCでIDやパスワードを入力するときには、背後にくれぐれもご注意を・・・
ほら、今あなたの後ろに・・・!
INTERNET Watchの記事に、 ソーシャル・エンジニアリング~ヒューマンハッキングの実態とは てのがありました。
最近不正アクセスのニュースなんかが増えてますけど、そもそも不正アクセスにはIDとパスワードが必要だったりします。それを突破する方法としてブルートフォースや辞書アタックなんかもありますけど、その中の1つにソーシャルエンジニアリングがあります。
「そーしゃるえんじにありんぐ?」
「ナニソレ?( ゚ ρ ゚ ) オイシイの?」
的な人もいらっしゃるかもしれませんが、簡単にいえばコンピューターを使った技術的なハックじゃなくて、人がやるハックのことです。例えば、IDとパスワードをキーボードで打っている人の後ろに立って、それを盗み見るとかってことですよ。誰でも簡単にできちゃうことですね。
記事ではその方法として、Phishing(フィッシング)、Phone Elicitation(電話による詐欺)、Tail Gating / Impersonation(なりすまし)を挙げてますが、どれも技術的に難しいことはなくて、PCのスキルがなくても出来る事ばかりです。
記事中にもある通り、
「なぜ、ハッカーはソーシャル・エンジニアリングを使うのかというと、簡単だからです」
これが全てですね。そして付け加えるとすれば、簡単な上に「確実」だということがあります。IDとパスをブルートフォースでアタックするとなると、かなりの時間と労力が必要ですが、先程例として挙げたように、後ろから覗き見ることが出来れば一瞬で終わりです。
かのケビン・ミトニックをして 「セキュリティにおける真の問題は人間」 と言わしめるほど、ソーシャルエンジニアリングには注意が必要です。皆様もPCでIDやパスワードを入力するときには、背後にくれぐれもご注意を・・・
ほら、今あなたの後ろに・・・!