ソーシャルエンジニアリング(social engineering)
ソーシャルエンジニアリングとは、コンピュータシステムとは関係のないところで、人の心理的不注意をついて情報資産を盗み出す行為のことです。
ユーザ認証をしっかり行い、セキュリティホールを塞いだ厳重なシステムを作っても、それを利用するのは結局は人。この肝心要な利用者である人そのものが油断していては、そこからぽろっと大事な情報が漏えいする危険性があります。そこを狙うのがソーシャルエンジニアリング。不正アクセスとしてネットワーク越しに行われるサイバー攻撃とは真逆の、実に昔ながらの古典的な攻撃方法がとられます。
たとえば代表的なところをいくつかあげると、肩越しに入力中のパスワードを盗み見してみたり(ショルダーハッキング)、ネットワーク管理者のふりをするなど身分を詐称してパスワードや機密情報を聞き出したり、オフィスのゴミ箱を漁って有用な情報を盗み出したり(スキャビンジング)など、これらはすべてソーシャルエンジニアリングの手法と言えます。
よくある笑い話の、「ネットワークにログインするパスワードを付箋に書いてディスプレイの端に貼っておく」なんていうのは、格好の餌食になってしまうわけですね。ソーシャルエンジニアリングへの対策は、システム面では行いようがありません。社内ルールを定め、社員教育を行うなどして1人1人の意識レベルを改善していく取り組みが重要になります。