諜報業界用語: 「ソーシャルエンジニアリング」　＜ー　一応、総務省もWeb Siteで警戒勧告をしているのですが．．．

今回は「ソーシャルエンジニアリング」についてみて見ましょう。

「ソーシャルエンジニアリング」:　人々の心理や社会的な相互作用を利用して、情報や特権的なアクセスを不正に入手するための手法や技術です。ソーシャルエンジニアリングは、技術的な攻撃手法だけでなく、人々の信頼を悪用して情報を得る非技術的手法も含まれます。
ソーシャルエンジニアリングの目的は、個人や組織の内部に潜む情報を入手することです。これは、パスワード、機密文書、システムへのアクセス権限などの情報を狙うことが一般的です。

具体的な手法としては、以下のようなものがあります:

1. 信頼の構築: 攻撃者はターゲットの信頼を得るために社交的な関係を構築します。メールや電話を通じて自分を信頼できる人物や組織の一員だと装い、情報を引き出そうとします。

2. フィッシング: フィッシングは、偽のウェブサイトや電子メールを使用して、ターゲットの個人情報や認証情報を取得する手法です。一般的には、銀行やオンラインサービスのような信頼できる組織を装い、ターゲットに偽の情報を提供させます。

3. プレテキスト攻撃: 攻撃者は信頼性の高い理由を作り出し、ターゲットから情報を引き出すためにそれを利用します。例えば、ITサポート担当者や顧客サービス担当者を装い、パスワードやアクセス情報を要求することがあります。

4. ショルダーサーフィン: ショルダーサーフィンは、ターゲットの背後から情報を覗き見ることを指します。例えば、公共の場でターゲットがパスワードや機密情報を入力している様子を観察し、それを利用して情報を得ることがあります。

ソーシャルエンジニアリングに対する防御策としては、以下の点に留意することが重要です:

1. 注意と疑いの心: 不審な電子メールや電話を受けた場合は、情報を提供する前に送信者や発信者の正当性を確認する必要があります。不審なリンクや添付ファイルを開かないようにしましょう。

2. 個人情報の保護: 個人情報や機密情報を公開しないようにし、特にソーシャルメディアなどのオンラインプラットフォームでの情報の取り扱いには注意を払いましょう。

3. セキュリティ意識の向上: ソーシャルエンジニアリングの手法や攻撃の兆候についての教育を受けることで、一般的な攻撃手法を認識し、警戒することが重要です。

4. 多要素認証の使用: 多要素認証を有効にすることで、パスワードだけではなく別の要素（例：SMSコード、指紋認証）を必要とするため、不正アクセスを防ぐことができます。

ソーシャルエンジニアリングによる攻撃は、技術的なセキュリティ対策だけでなく、人々の意識と注意に依存しています。情報の取り扱いには慎重さが求められるため、常に警戒心を持ち、セキュリティ意識を高めることが重要です。

代表的有名人は、以前も登場したケビン・ミトニックさん、こちらスノーデンさんとはタイプが違います。

ソーシャルエンジニアリングに関する総務省のHP: 　↓
具体例が書いてあるものの
こんなこじんまりやられてもね～
本当に啓発したいとはおもいません。
形だけでしょ、とパラレルワールド」業界では言われています。

ソーシャルエンジニアリングの対策｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト