ソーシャルエンジニアリングは組織にとって最大の脅威となるか

2017 年 4 月 19 日 - Microsoft Secure Blog スタッフ - マイクロソフト

世界中でソーシャルエンジニアリングが広まり、組織のセキュリティへの脅威が高まっています。2015 年 1 月以降、FBI が特定したソーシャルエンジニアリングの被害者数は 270% 増加し、企業の損失額は 23 億ドルを超えるまでになりました。

ソーシャルエンジニアリングは、ハッカーが操作、誘導、詐欺などの手口で他人に情報を公開させたり、何らかの行為を実行させたりして、利益を得ようとするものです。基本的には、人をだまして通常のセキュリティ手順を破るように仕向けます (パスワードを漏らすなど)。

以下は一般的な種類のソーシャルエンジニアリングの例です。

スピアフィッシング – CEO や社内 IT 部門など、ユーザーが信頼する人物を装って電子メールを送信し、機密情報が脆弱な状態になるような行為を要求します。
ダンプスターダイビング – ごみ箱をあさり、IP 情報が含まれる設計文書や、マーケティング計画、従業員業績計画、さらには、組織図や電話番号リストといった機密情報を見つけようとします。
10 Degrees of Separation (10 度の分離) – ユーザーが信頼する共通の人脈があるように見せかけ、機密情報を話すことに対するユーザーの安心感を高めます。

技術的にセキュリティがいかに強力であっても、組織のスタッフが最も大きな弱点となってしまうのが一般的です。しかし、よく練られた定期的な教育を徹底して行えば、ソーシャルエンジニアリングとの闘いにおいてスタッフが最大の資産になる可能性もあります。

強力なセキュリティポリシーを実装し、セキュリティ意識の高い文化を築いて、組織をソーシャルエンジニアリングのリスクから守る方法については、内部関係者向けソーシャルエンジニアリング対応ガイドをご確認ください。

ソーシャル エンジニアリングは組織にとって最大の脅威となるか