知ってる人から聞くのが確実・・・
CNETの記事に、 米調査、24%が仕事関係のパスワードを社外の人に教えていた--67%は書いた付箋紙を紛失 てのがありました。
Atlas VPNは、米国の職場ではパスワードが適切に管理されていない、といった内容の調査レポートを公開したそうです。フルタイムワーカーの24.39%が、仕事関係で使うパスワードを社外の人へ教えていたとのこと。
記事によると・・・
調査では、仕事で使っているパスワードを他者に知らせたかことがあるかどうか、米国で働く1000人のフルタイムワーカーに質問。その結果、4分の1近くが過去1年のあいだに、社外の人へパスワードを漏らしていた。
また、パスワードを付箋紙に書いて貼り付けておく、という不適切な管理も、57%の人が実行していた。しかも、67%はそうした付箋紙をなくしたことがある、と答えた。
だそうです。恐ろしい結果ですね。パスワードを外部からハックする方法は技術的なものだけでもいくつかの方法があります。ただ、それは当然ながら確実にハックできるとは限らないんです。
でも、確実にハックできる方法は実在します。知ってる人から聞けばいいんです。これが俗に”ソーシャルエンジニアリング”と呼ばれている方法です。
技術的なことは何一つ必要ありません。例えば、実在する社員の名前をあげて、情シスに「実はパスワード忘れちゃったんですけど急ぐので今教えてくれませんか?」との電話をかけて見たりする方法があります。
また、内部に潜入してその人の後ろからそっとパスワード入力を覗き込んだり(ショルダーハック)、ゴミ箱を漁ってIDとパスワードが書いてある紙を探したり(トラッシング)等々の実にアナログな方法です。
ただ、アナログなのですが最も確実にパスワードが見つかる方法でもあるのです。
つい先日、 株取引アプリの米Robinhood Marketsから700万人分の顧客データが流出 した事件がありました。これも原因はカスタマーサービス担当従業員に対する電話を使ったソーシャルエンジニアリングだったそうです。
このようにネット経由で技術的にハックする方法以外にも、こういったアナログな方法でハックすることも実際に行われていることを認識し、知っている人でもパスワードをむやみに教えたりしないようにすることが懸命です。皆様十分にご注意ください。