日常生活は危険と常に隣り合わせ。
自分は大丈夫と思っていても予期せぬ被害に遭ってしまう可能性もゼロではありません。
場合によっては家族に危険が及ぶ場合も十分考えられます。
今回はソーシャルエンジニアリングについて話していきます。
防犯意識を高めるためにも是非一度チェックしてください。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは相手の隙をついてさまざまな情報を入手すること。
ソーシャルエンジニアリングを行う人はあらゆる方法を用いて企業や個人の情報を入手しようとします。
集めた情報を基に標的型攻撃を行われるかもしれません。
ソーシャルエンジニアリングの目的
どうしてソーシャルエンジニアリングを行うのか疑問に感じている方も多いのではないでしょうか?
防犯対策を行う際はソーシャルエンジニアリングを行う目的を知ることが重要です。
ここでは、ソーシャルエンジニアリングの目的について話します。
企業の機密事項を探る
企業の機密事項を探る目的がまず挙げられます。
会社内で業務に関する情報が流出しないよう指導されている方も多いのでは?
デスクやパソコンの中にある情報は皆さんが思っている以上に価値があります。
場合によっては企業に大きな損害を与えてしまう可能性もゼロではないです。
社員のミスは企業全体のミスに繋がってしまいます。
1人でも多くの個人情報を手に入れる
企業だけの問題と思うのは大間違い。
個人が狙われる可能性も十分考えられます。
家族や友人など1人でも多くの個人情報を手に入れるため、ソーシャルエンジニアリングを行おうとする人がいます。
大切な人を守るためにも仕事だけでなく、プライベートでも個人情報の管理をしっかり行わないといけません。
場合によっては家族や友人との関係がこじれてしまうかもしれないです。
お金目的
クレジットカードやキャッシュカードの暗証番号を聞き出し、お金を引き出す目的でソーシャルエンジニアリングが行われたりします。
警察などを名乗り、クレジットカードに関する情報を得ようとするので非常に厄介。
安易にクレジットカードやキャッシュカードの情報を言わないようにするのが重要です。
ストーカー
SNSが身近になった昨今。
最寄り駅などの情報をアップしていませんか?
ストーカー目的でソーシャルエンジニアリングを行う場合もあります。
SNSやブログなどに個人情報をアップしている方は運用の仕方を見直すと良いかもしれません。
ソーシャルエンジニアリングの手口
ソーシャルエンジニアリングはどのような手口で行われるか気になっていませんか?
手口を知っているかどうかでソーシャルエンジニアリングに対する立ち回り方も変わってきます。
ここでは、ソーシャルエンジニアリングの手口について話します。
社員や警察になりすまし
社員や警察などになりすまし、さまざまな方法で情報を引き出してきます。
なりすましと聞いて振り込め詐欺をイメージする方も多いのではないでしょうか?
怪しいと感じた場合は上司や警察に相談することが重要です。
オフィスに不審者が侵入している可能性があるかもしれません。
電話で個人情報を聞き出す
電話で皆さんの個人情報を聞き出すのもソーシャルエンジニアリングの手法の1つです。
身に覚えのない電話番号には出ないといった対策が必要になります。
SNSを駆使する
TwitterやInstagram、FacebookなどのSNSを駆使して企業や個人に関する情報を引き出そうとします。
SNSはさまざまな情報が発信されており、場合によっては大きな被害が生じてしまう可能性もゼロではありません。
昨今では社員のTwitterアカウントなどを確認する企業も多いです。
ネットワーク上にさまざまな情報が流れているので、皆さんも注意したいところ。
自分が発信した情報が悪用されないだろうという心理的油断が逆に命取りです。
トラッキング
トラッキングはゴミとして捨てられたものからさまざまな情報を収集するテクニックです。
使わなくなった書類が出た際、どのように処分しているでしょうか?
書類1つでさまざまな情報を知ることができます。
不必要になった物を処分する際はしっかり行わないといけません。
覗き見
オフィスやカフェなどで仕事をする際、覗き見に注意する必要があります。
肩越しもしくは席を離れた際などにパソコンやタブレットなどに表示されている情報を盗み見られているかもしれません。
ソーシャルエンジニアリング対策の一環として周囲に誰がいるかチェックするのが重要です。
ソーシャルエンジニアリングの事例
ソーシャルエンジニアリングの事例に一体どういうものがあるか気になりませんか?
大手企業が攻撃を受けているケースもいくつか報告されており、油断していると痛い目を見ます。
今からソーシャルエンジニアリングの事例をいくつか紹介するので、個人情報を管理する上で一度参考にしてください。
人気オンラインゲームで起きた個人情報流出事件
2018年にMaster of Epicと呼ばれるオンラインゲームの利用者の個人情報が流出する事件が発生しています。
流出した情報はメールアドレスやゲームに利用するID、パスワード、生年月日などが挙げられます。
オンラインゲームを利用する際、ソーシャルエンジニアリングに注意しないといけません。
多くの方がオンラインゲームで何かしらの被害を受けており、手口は様々です。
警察庁の統計データでもオンラインゲームのサービスで多くの方が被害に遭ったと報告されています。
被疑者が不正に利用したサービスは、オンラインゲーム・コミュニティサイトが224件と最も多く、全体の28.5%を占めており、次いで社員・会員用等の専用サイトが151件で全体の19.2%を占めている。
引用元:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_cyber_jousei.pdf
2018年に起きた仮想通貨流出事件
2018年に大手仮想通貨取引所であるコインチェックにて約580億円分の仮想通貨が不正アクセスにより流出した事件が発生しています。
仮想通貨の取り引きを行っている方は仮想通貨取引所のセキュリティが大丈夫かどうかチェックしないといけません。
消費者庁や金融庁、警察庁も仮想通貨のトラブルに注意喚起を行っている程です。
警察庁の発表によると、不正アクセスなどのサイバー犯罪は増加傾向にあります。
認知件数は169件、被害額は約677億3,820万円相当で、29年(認知件数149件、被害額6億6,240万円相当)と比較して、認知件数は20件、被害額は約670億7,580万円相当上回った。
引用元:https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf
バスツアー専用サイトで起きた個人情報流出
2017年にとあるバスツアー専用サイトで1万件以上の個人情報が流出した事件が発生しています。
スタッフのヒューマンエラーが原因。
外からの脅威だけでなく、スタッフのミスに対しても目を配らないといけません。
航空会社に起きたメール詐欺
大手航空会社が振込め詐欺の被害に遭った話も有名です。
被害額は3億円以上と言われています。
ソーシャルエンジニアリングの標的にされる原因を自分で作っていませんか?
ソーシャルエンジニアリングは予想以上の被害を与える行為です。
ですが、自分からソーシャルエンジニアリングに狙われる原因を作っていないでしょうか?
個人情報の取り扱い1つで狙われる確率も大きく変わってきます。
原因を1つでも多く潰していくことが重要です。
個人情報を守るための対策方法
ソーシャルエンジニアリングから身を守るために何をすれば良いかを知る必要があります。
対策はいくつも存在しており、その中から自分に合った方法を選択します。
ここでは、ソーシャルエンジニアリングの対策について話していくので一度チェックしてください。
電話番号などの情報を基本的に開示しない
電話番号や住所などの情報を無闇に開示しないことがソーシャルエンジニアリング対策の第一歩です。
情報を開示すればする程、ソーシャルエンジニアリングに狙われる確率が上がってしまいます。
デスクに仕事などに関する情報を放置しない
会社のデスクに何を置いているでしょうか?
仕事上得た情報をデスクの上に放置しないよう整理することをおすすめします。
会社によってはデスクの上に極力物を置かないよう注意される場合もあります。
書類はシュレッダーにかける
仕事で不要になった書類をシュレッダーにかけることも大事。
シュレッダーによっては書類を復元できる場合もあるため、情報を読み取れないよう細かくするのがポイントです。
プライバシーフィルターの使用
プライバシーフィルターを使用し、パソコンの画面を見られないようにするのもソーシャルエンジニアリング対策の一環。
誰が皆さんのパソコンやタブレットなどを見ているか分かりません。
記憶媒体の消去
不要になったハードディスクドライブなどは確実に消去しておくことが重要です。
場合によっては中に入っている情報を復元される可能性があります。
SNSに公開する情報の精査
個人情報を守るためにSNSを使うなとは言いません。
用いる際はアップする情報を精査し、ソーシャルエンジニアリングに狙われにくくするのがポイントです。
社員や家族とソーシャルエンジニアリングの対策について話し合う
社員や家族とソーシャルエンジニアリングの対策について話し合いを行うのもおすすめ。
どのような事例があるかをはじめ、具体的な対策を出し合って情報共有を行ってはいかがでしょうか?
話し合いを行う際はどこで行うかも意識したいところ。
不特定多数のいる所で話し合いを行うのは避ける必要があります。
まとめ
ソーシャルエンジニアリングは個人だけでなく、大手企業も標的です。
自分は無関係と思っていると足元をすくわれます。
詐欺師やストーカーなどにつけ込まれないためにも情報管理をしっかり行わないといけません。
オフィスは大丈夫かどうか、家のパソコンのセキュリティはどうなっているかなど防犯意識を少しでも高めるきっかけになれば幸いです。