2024/09/18 ソーシャル・エンジニアリング 技術勉強会資料

■ソーシャル・エンジニアリングって何? ■ソーシャル・エンジニアリングとは 情報通信技術を使わずに、ID・パスワードなどの重要情報を盗む手法 「PC画面を覗き見る」 「なりすまし電話やメールで個人情報を盗む」 「ごみ箱を漁る」・・・スキャベンジング ウイルスを検出しましたは9割嘘です。 「フィッシング詐欺」・・・偽サイト 「偽警告で不安をあおる」・・・スケアウェア © 2024 VEGA Systems Inc. 1

■ソーシャル・エンジニアリングは危険なの? ■ソーシャルエンジニアリングの特徴 ・人の心理的な隙や行動のミスを狙った攻撃 ・暗号化やウイルス対策ソフト等のテクノロジーで、防げない脅威 →どんなに技術が進歩しても、人間が使う限り発生しうる! ・データ漏えい/侵害被害の74%がソーシャルエンジニアリング攻撃や 過失、誤用などの「人的要因」に起因しているとの調査がある。 (アメリカの大手通信会社「ベライゾン」の2023年調査) © 2024 VEGA Systems Inc. 2

■代表的な3パターンの手口 ①、「信頼できる相手」を装う →取引先、上司、公的機関、銀行、家族など ex.) 警察や税務署、市役所など →相手が誰であっても、パスワード・個人情報は伝えない ②、「緊急性や恐怖感」をアピールする →オレオレ詐欺 →唐突な電話等には、その場で回答せず、こちらから折り返す ③、「信頼性のある理由」を持ち出す →高額当選、医療費の返金、裁判沙汰・・・ → 本当に重要なら書面が来ると思う © 2024 VEGA Systems Inc. 3

■日常に潜むうっかりと対策 ・パスワードの管理 ⾧い、記号、大文字小文字含む、こまめに変更していても・・・ →自動保存による入力だったりする →自動入力自体は悪くないが、本当に大切な内容には多段階認証(SMS等)を ・PC画面を放置して離席 個人チャットやメール画面を開いたまま 社外秘の案件の内容を開いたまま →外出先・出張先で行うと大問題です。 日頃から、離席時ロックの癖をつけましょう © 2024 VEGA Systems Inc. 4

■日常に潜むうっかりと対策 ・ゴミ箱(物理) 重要な紙の資料 →社外に持ち出さない、なるべく印刷しない、終わったらシュレッダー ・パスワードを手書きで物理的にメモする → 割と安全説（データ上にメモするよりかは） →現在の主流は、パスワード以外の方法でも認証 ・「知識」 × 「所持」 × 「生体」の３つの要素で認証 知識:パスワード、秘密の暗号 所持:スマートフォン端末、トークン、ICカード 生体:顔認証、指紋認証 © 2024 VEGA Systems Inc. 5

■日常に潜むうっかりと対策 ・多段階認証 「知識」 「所持」 「生体」 組み合わせにより相乗的にセキュリティが高まっていく どれか1つだけに頼らない、全てを均等に・並行して使う 引用元:多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口 勝村 幸博 日経クロステック／日経NETWORK https://xtech.nikkei.com/atcl/nxt/column/18/00676/042600105/ © 2024 VEGA Systems Inc. 6

■日常に潜むうっかりと対策 ・「知識」 × 「所持」 × 「生体」以外にも ・「場所」・・・ユーザーの物理的な位置情報を取得 →特定の場所からのアクセスのみ許可 ・「行動」・・・個人の行動パターンを学習し、異常な行動があれば追加認証or利用を制限 →クレジットカードで一般的 →いつもお菓子や食べ物を1000円くらいずつしか買っていない人が 急にカードで健康器具を数万円×何回も買った (ヒトにとって一見合理的でも、機械としては異常な行動) © 2024 VEGA Systems Inc. 7

■まとめ ・ソーシャル・エンジニアリングとは、人間の心理や行動を利用して情報を不正に取得する手法 ・人間が行動をする限りいつでも発生しうる、自分だけは大丈夫と思わない事が大切 対策 ・電話やメールは発信元を要確認 ・今すぐ◯◯をしては怪しい。変な内容は無視。リンク・ファイルも見ない ・パスワード以外の多段階の認証を日頃から実施 ・離席時、Win ＋ L (今日から日課にする!) © 2024 VEGA Systems Inc. 8

■まとめ ・より深く学びたい方向け参考資料 ★欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法 – ケビン・ミトニック ★ソーシャル・エンジニアリング – クリストファー・ハドナジー © 2024 VEGA Systems Inc. 9