特に企業や組織は要注意 ソーシャルエンジニアリングの危険(1)効果的な攻撃に被害も拡大 | ScanNetSecurity
2024.03.29(金)

特に企業や組織は要注意 ソーシャルエンジニアリングの危険(1)効果的な攻撃に被害も拡大

去る9月、ISSE会議で、アーンスト アンド ヤングのコンサルタント、シャノン・コンへディが、企業はソーシャルエンジニアリングを用いての攻撃にもっと警戒を強めるべきだとのプレゼンテーションを行った。ISSEはInformation Security Solutions Europe(情報セキュリテ

国際 海外情報
去る9月、ISSE会議で、アーンスト アンド ヤングのコンサルタント、シャノン・コンへディが、企業はソーシャルエンジニアリングを用いての攻撃にもっと警戒を強めるべきだとのプレゼンテーションを行った。ISSEはInformation Security Solutions Europe(情報セキュリティ・ソリューション・ヨーロッパ)の略で、ヨーロッパ唯一の無所属かつ総合的なセキュリティ会議のことだ。今年はポーランドのワルシャワで開かれた。

ソーシャルエンジニアリングとは、データ盗難などを目的として不正にシステムにアクセスをするために、アカウントやパスワードなどを正規のユーザから聞きだしたりすることだ。コンヘディは、攻撃前に犯罪者がGoogleのようなツールや各企業のウェブサイトなどを用いて、調査や情報収集を行っていると警告した。

しかし、企業ではソーシャルエンジニアリングの危険を過小評価しがちで、実際には外部からソーシャルエンジニアリングにより情報を不正に獲得されていても気がついていないというのが実情だ。そのため、攻撃に対する防御で最も重要なのは従業員の教育と認識だという。

●実在の社名を使う犯罪者にだまされる

ソーシャルエンジニアリングを用いた攻撃で最も有名なものは、個人情報の収集を行う企業、Choice Pointの事件だろう。2005年に明らかになったもので、犯人は偽の運転免許証を用いてアカウントを開設。情報を不正に獲得したうえで、その情報を用いて物品を購入していた。Choice Pointは特定の条件を満たす相手に対し、消費者データの販売も行っている。

データ盗難犯は購入対象には該当していなかったが…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×