Tweet

ソーシャル・エンジニアリング （social engineering）

　パスワードやクレジットカード番号などといった個人情報を他人から盗み出したり、遠隔地からの不正操作を可能にするプログラムを実行させたりする手法の1つ。「social engineering」は「社会工学」という意味で、ネットワーク技術やコンピュータ技術を直接的に悪用して他人の情報を盗み出すのではなく、人間心理の弱点などを突いて不正を試みることから、ハッカーの間でこう呼ばれるようになった。

　広義のソーシャル・エンジニアリングには、コンピュータとは無関係な犯罪も含まれる。音声電話や、面と向かって個人情報を盗み出そうと働きかけるのもソーシャル・エンジアリングである。例えば銀行のATMなどを操作している人に銀行員になりすまして近づき、言葉巧みに暗証番号を聞き出してキャッシュ・カードを預かり、そのまま立ち去ってしまうという犯罪がある。これも一種のソーシャル・エンジアリングである。

　コンピュータにまつわる伝統的なソーシャル・エンジニアリングの1つは、コンピュータ管理者になりすまして、「（システム管理の都合などの理由で）あなたのパスワードを送ってほしい」というようなメールを複数のユーザーに無差別に送り、受信者がうっかりこれに返答するのを待ち構えるというものだ。メールだけでなく、チャットやネット掲示板で同様の手法が使われることもある。

　また、コンピュータにバックドアを仕掛けるプログラムや分散DoS攻撃（DDoS攻撃）用のプログラム、トロイの木馬など、遠隔地からそのコンピュータを不正操作するためのプログラムを言葉巧みに実行させるというものもある。この際、攻撃者は、「インターネットのアクセスを高速化するプログラム」「ウイルスや不正な攻撃からコンピュータを守るためのプログラム」「音楽ファイルやポルノ写真を高速にダウンロード可能にするプログラム」などと偽り、メールやチャットなどでプログラムを配布する。だまされた受信者がプログラムを実行すると、そのコンピュータを遠隔操作することなどが可能になり、攻撃者はそのコンピュータから重要な情報を盗み出したり、さらに別のプログラムを送り込んで実行したり、分散DoS攻撃を担う一員として悪用したりできるようになる。

　これ以外にも、コンピュータを操作している人にそれとなく近づき、キーボードからパスワードを入力するところを盗み見るなどというものもある。これは、繁華街や空港などの人ごみで長距離電話をしている人に近づき、クレジットカード番号を入力するのを盗み見るという、古くからある犯罪手法をパスワード搾取に応用したものである。肩越しに画面や利用者の手の動きを盗み見ることから、ショルダー・ハッキングとかショルダー・サーフィンなどと呼ばれる。

Copyright (C) 2000-2007 Digital Advantage Corp.