個人情報漏えいはインターネット経由だけではない人間の心理・行動をつき情報を盗む「ソーシャルエンジニアリング」

特集記事

ソーシャルエンジニアリング

猛威を振るっているスマホやパソコン経由での個人情報漏えいに対し、セキュリティ意識の高い人は自分の端末にセキュリティ対策を施しています。ですが個人情報の漏えいはそれだけでは防ぐことはできません。

インターネット外のリアルな現場でも情報漏えいの危険はあります。人間の心理や行動に合わせて個人情報を盗む犯罪手法が注目されており、それを「ソーシャルエンジニアリング」といいます。この手法はターゲットを決めその人間が保有している個人情報を盗むものですが、昨今ではオープンオフィスやカフェなどを利用している会社員を狙い、見境なく会社の機密情報を盗むことに使用される可能性もあります。

ソーシャルエンジニアリングの主な手法

1.のぞき見(ショルダーハッキング)

ターゲットの肩越し・背後からスマホやパソコンを盗み見てID・パスワードなどの機密情報を盗み見る手法です。ショルダーハッキングともいわれています。
特にコロナ禍においてマスク着用でスマホの顔認証ができないためパスワードを入れる機会が増えています。昔から銀行のATMの背後から暗証番号を盗み見て、その後窃盗を行い口座からお金を引き出すという手法はありますが、それがパソコンやスマホで行われている可能性もあります。一般的にスマホやパソコンにはECサイトにクレカ情報、スマホに電子マネーなど金銭につながる情報がたくさん登録されているため、銀行口座情報を盗まれるのと同等の被害になる可能性があります。

2.電話やメールでパスワードを聞き出す

これは会社員などがターゲットになりやすいですが、会社のシステム担当者になりすまし電話をしてIDとパスワードを盗む手法です。
会社員は名刺やメールを通じて連絡先などの情報をばらまいています。犯罪者側はその情報を利用して会社員本人から会社のパソコンのID・パスワードを入手。その後、その人のパソコンを窃盗、もしくはサイバー攻撃にて侵入するなどして個人情報や機密情報を盗む可能性があります。

3.ゴミ箱を漁る(トラッシング)

会社や家で捨てられているゴミ箱を漁り情報を盗む手口で、トラッシングと言われています。
USB・CD-ROM・書類など機密情報が入っている可能性があるものを盗みます。特にオフィスのごみ箱は一般家庭のごみに比べ機密情報が入っている可能性は高いため、注意が必要です。一般家庭でも同様で、宛名・住所・連絡先などの情報はシュレッダーなどで裁断して捨てるのが安全です。なぜなら個人情報はブラックマーケットで取り扱われ、一件いくらといった形で売買されているからです。直接的な犯罪に関係のない情報でも、それを販売することができるなら犯罪者はその情報を狙ってきます。

一般生活の行動からセキュリティ意識を

現在、ネット詐欺被害の拡大により各社がスマホやパソコンのセキュリティを強化しています。犯罪者もネット経由で情報盗むには労力がかかります。そうするとネット経由ではなく、一般生活に侵入し個人情報を盗むというやり方に変化していく可能性があります。すべてがインターネットで管理ができる社会になりつつある現在、そのインターネットに接続する機器自体が物理的に狙われることを意識して生活していくことが重要です。

あわせて読みたい