2024/09/18 ソーシャル・エンジニアリング 技術勉強会資料

269 Views

October 04, 24

スライド概要

IT技術者はセキュリティについては詳しいから大丈夫と思っていませんか?

ベガシステム技術勉強会の発表資料です。

profile-image

ベガシステムは、創業1990年、30年以上続くIT企業です。 お客様との対話を大切にし、新たな価値を創造し続けます。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

■ソーシャル・エンジニアリングって何? ■ソーシャル・エンジニアリングとは 情報通信技術を使わずに、ID・パスワードなどの重要情報を盗む手法 「PC画面を覗き見る」 「なりすまし電話やメールで個人情報を盗む」 「ごみ箱を漁る」・・・スキャベンジング ウイルスを検出しましたは9割嘘です。 「フィッシング詐欺」・・・偽サイト 「偽警告で不安をあおる」・・・スケアウェア © 2024 VEGA Systems Inc. 1

2.

■ソーシャル・エンジニアリングは危険なの? ■ソーシャルエンジニアリングの特徴 ・人の心理的な隙や行動のミスを狙った攻撃 ・暗号化やウイルス対策ソフト等のテクノロジーで、防げない脅威 →どんなに技術が進歩しても、人間が使う限り発生しうる! ・データ漏えい/侵害被害の74%がソーシャルエンジニアリング攻撃や 過失、誤用などの「人的要因」に起因しているとの調査がある。 (アメリカの大手通信会社「ベライゾン」の2023年調査) © 2024 VEGA Systems Inc. 2

3.

■代表的な3パターンの手口 ①、「信頼できる相手」を装う →取引先、上司、公的機関、銀行、家族など ex.) 警察や税務署、市役所など →相手が誰であっても、パスワード・個人情報は伝えない ②、「緊急性や恐怖感」をアピールする →オレオレ詐欺 →唐突な電話等には、その場で回答せず、こちらから折り返す ③、「信頼性のある理由」を持ち出す →高額当選、医療費の返金、裁判沙汰・・・ → 本当に重要なら書面が来ると思う © 2024 VEGA Systems Inc. 3

4.

■日常に潜むうっかりと対策 ・パスワードの管理 ⾧い、記号、大文字小文字含む、こまめに変更していても・・・ →自動保存による入力だったりする →自動入力自体は悪くないが、本当に大切な内容には多段階認証(SMS等)を ・PC画面を放置して離席 個人チャットやメール画面を開いたまま 社外秘の案件の内容を開いたまま →外出先・出張先で行うと大問題です。 日頃から、離席時ロックの癖をつけましょう © 2024 VEGA Systems Inc. 4

5.

■日常に潜むうっかりと対策 ・ゴミ箱(物理) 重要な紙の資料 →社外に持ち出さない、なるべく印刷しない、終わったらシュレッダー ・パスワードを手書きで物理的にメモする → 割と安全説(データ上にメモするよりかは) →現在の主流は、パスワード以外の方法でも認証 ・「知識」 × 「所持」 × 「生体」の3つの要素で認証 知識:パスワード、秘密の暗号 所持:スマートフォン端末、トークン、ICカード 生体:顔認証、指紋認証 © 2024 VEGA Systems Inc. 5

6.

■日常に潜むうっかりと対策 ・多段階認証 「知識」 「所持」 「生体」 組み合わせにより相乗的にセキュリティが高まっていく どれか1つだけに頼らない、全てを均等に・並行して使う 引用元:多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口 勝村 幸博 日経クロステック/日経NETWORK https://xtech.nikkei.com/atcl/nxt/column/18/00676/042600105/ © 2024 VEGA Systems Inc. 6

7.

■日常に潜むうっかりと対策 ・「知識」 × 「所持」 × 「生体」以外にも ・「場所」・・・ユーザーの物理的な位置情報を取得 →特定の場所からのアクセスのみ許可 ・「行動」・・・個人の行動パターンを学習し、異常な行動があれば追加認証or利用を制限 →クレジットカードで一般的 →いつもお菓子や食べ物を1000円くらいずつしか買っていない人が 急にカードで健康器具を数万円×何回も買った (ヒトにとって一見合理的でも、機械としては異常な行動) © 2024 VEGA Systems Inc. 7

8.

■まとめ ・ソーシャル・エンジニアリングとは、人間の心理や行動を利用して情報を不正に取得する手法 ・人間が行動をする限りいつでも発生しうる、自分だけは大丈夫と思わない事が大切 対策 ・電話やメールは発信元を要確認 ・今すぐ◯◯をしては怪しい。変な内容は無視。リンク・ファイルも見ない ・パスワード以外の多段階の認証を日頃から実施 ・離席時、Win + L (今日から日課にする!) © 2024 VEGA Systems Inc. 8

9.

■まとめ ・より深く学びたい方向け参考資料 ★欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法 – ケビン・ミトニック ★ソーシャル・エンジニアリング – クリストファー・ハドナジー © 2024 VEGA Systems Inc. 9