ソーシャルエンジニアリングについて

こんにちは。まんちです(@mike_unchi)。
セキュリティについてお勉強初心者です。難しい言葉がたくさん出てきたのでまとめてみようと思い書いてみました。よければいいねもらえると喜びます。

ソーシャルエンジニアリングとは

直訳すると、社会工学。本来は社会問題の解決や社会システムの制御を工学的アプローチで行う学問のことを指す。
セキュリティの文脈ではソーシャル(社会的)な手段で重要情報を不正に収集することを指す。
例えば会話の盗み聞き、ゴミ箱あさり、覗き見などだ。
他にも、オレオレ詐欺、内部情報を利用して犯罪を行う高度なものまである。

どんなものがあるの？

スプーフィング🥄　
spoof(なりすます)、文字通り他人になりすます攻撃です。オレオレ詐欺ですね。

ショルダーサーフィン🏄‍♂️
名前からして攻撃感ないですね。イケてる。(ダサい)こちらも直訳して「肩越しに覗き見る」という意味で無意識に友達のスマホとか見てる人いますよね。それです。立派な攻撃です。笑

ダンプスターダイビング🤿
ゴミ箱にダイビング！すなわち組織や個人が廃棄し、油断している中物品を調査して情報を取る攻撃ですね。この攻撃に該当する分けてばありませんが、最近だとLACの情報漏洩もゴミだと思ってたら情報が残っていたケースもよくあるみたいです。

テールゲート🚧
共連れ、ピギーバックなどとも言われるそうです。セキュリティガードがある出入り口にて、認証後、入り口に一緒にそのまま入り込むことを指します。

ホエーリング攻撃🐳
お偉いさんを狙い撃ちした攻撃です。お偉いさんの認証情報、個人情報、会社の機密情報を取得することを目的としています。

ビッシング❌
フィッシング+voiceの掛け合わせでvishingと呼びます。相手に電話をかけて、別の電話番号へかけるよう誘導。その後クレジットカード番号の入力等を促しクレカの悪用を試みます。

次はこれらの攻撃からどのようにして資産を守るのかをまとめたいと思います。

まんち