【220219 不定期3 重要】ヒューマンベースのソーシャルエンジニアリング(入門)
【220219 不定期3 重要】ヒューマンベースのソーシャルエンジニアリング(入門)
*ホワイトハッカー勉強用(ソーシャルエンジニアリングの併用は効果大のため)
>詳細(はじめに)
張り込み・尾行・盗聴・物理的侵入など古典的なアプローチに思えるが効果大、現在でも高い成果を上げている。捜査機関、探偵、スキップトレーサー(行解決を図る者)、産業スパイ、諜報機関などがこうしたアプローチを活用している。ターゲットの住所や電話番号が判明していると有効。
PCのハッキングだけでなくヒューマンベースのソーシャルエンジニアリングを習得することにより、総合的な調査ができる。
>聞き込みによる情報調査<
有能なインタビューターの素質が必要
〇情報を引き出す相手
(1) ターゲット本人
(2) ターゲットと友好関係がある人(家族・親族・同居人、配偶者・恋人、親友・友人・知り合い、過去や現在の職場の人、取引相手)
(3) ターゲットと緩い関係にある人(近隣住民、守衛、大家・管理人、ファン・信泰者、ライバル)
(4) ターゲットの情報にアクセスできる第3者(サーバー管理者、役所・ライフライン・税務署・病院の職員など)
など
〇体面による聞き込み
警察官であれば警察手帳を提示だが、調査員は「身分を偽る」「情報を引き出す」
聞き込みのプロセス
はじめは張り込みや尾行を繰り返す、聞き込みを行うと周囲に警戒心を与える
① 聞き込みの場所の下見、架空のストーリーを考えて、人物になりすます
② 聞き込みを実施:遠巻きに聞き込みを行い、徐々に近づいてゆくなど
③ 聞き込みの調査を終えたら、裏付けをとる、家族の評判がターゲットの評価を左右するなど。
聞き込みのテクニック
ターゲットに直接聞いてはいけない。ついでを装って、聞くなど。
都会のワンルームマンションは、近所付き合いがほとんどない、大家や管理人に聞き込みをするなど。
〇通信機器による聞き込み
状況によっては体面による聞き込みより、通信機器を介する聞き込みが有効な場合が多い。など。
なりすます対象を考察する
ソーシャルエンジニアリングにおけるなりすましの対象に制限はない。公共サービスや役所の人間だけでなく、隣人や家族でさえなりすまし対象になりえる。
ソーシャルエンジニアリングは狭義ではインターネット上の世界から
(1) 管理者になりすまして、ユーザーをだます
(2) ユーザーになりすまして、管理者をだます
(3) ユーザーになりすまして、別のユーザーをだます
(4) 管理者になりすまして、別の管理者をだます