ソーシャルエンジニアリングとは?

コンピュータのセキュリティでは、ユーザーの最善の努力にもかかわらず、多くの問題が発生します。 たとえば、いつでもマルバタイジングによってマルウェアに感染する可能性がありますが、これは本当に不運によるものです。 広告ブロッカーを使用するなど、リスクを最小限に抑えるために実行できる手順があります。 しかし、このように打たれるのはユーザーのせいではありません。 ただし、他の攻撃は、ユーザーをだまして何かをさせることに焦点を当てています。 これらのタイプの攻撃は、ソーシャル エンジニアリング攻撃の広範な旗印に含まれます。

ソーシャル エンジニアリングには、人々が特定の状況をどのように処理して結果を操作するかを分析および理解することが含まれます。 ソーシャル エンジニアリングは、大規模なグループに対して実行できます。 ただし、コンピューターのセキュリティに関しては、大規模なキャンペーンの一部として使用される可能性がありますが、通常は個人に対して使用されます。

人々のグループに対するソーシャル エンジニアリングの例としては、気を散らすためにパニックを引き起こそうとする試みが挙げられます。 たとえば、軍隊が偽旗作戦を実行したり、混雑した場所で誰かが「火事だ」と叫び、混乱の中で盗んだりします。 あるレベルでは、単純なプロパガンダ、ギャンブル、および広告もソーシャル エンジニアリング手法です。

ただし、コンピューターのセキュリティでは、アクションはより個別化される傾向があります。 フィッシングは、クリックしてリンクし、詳細を入力するようにユーザーを説得しようとします。 多くの詐欺は、恐怖や貪欲に基づいて操作しようとします。 コンピューター セキュリティにおけるソーシャル エンジニアリング攻撃は、サーバー ルームへの不正アクセスを試みるなど、現実の世界に踏み込むことさえあります。 興味深いことに、サイバー セキュリティの世界では、この最後のシナリオやそれに類するシナリオは、通常、ソーシャル エンジニアリング攻撃について話すときに意味されます。

広範なソーシャル エンジニアリング – オンライン

フィッシングは、攻撃者に詳細を提供するよう被害者をソーシャル エンジニアリングしようとする攻撃の一種です。 フィッシング攻撃は通常、電子メールなどの外部システムで配信されるため、2 つの異なるソーシャル エンジニアリング ポイントがあります。 まず、メッセージが正当なものであることを被害者に納得させ、リンクをクリックさせる必要があります。 これにより、フィッシング ページが読み込まれ、そこでユーザーは詳細を入力するよう求められます。 通常、これはユーザー名とパスワードになります。 これは、最初の電子メールとフィッシング ページの両方が、ソーシャル エンジニアリングによってユーザーを信頼させるのに十分な説得力があるように見えることに依存しています。

多くの詐欺は、被害者にお金を渡すようにソーシャル エンジニアリングを試みます。 古典的な「ナイジェリアの王子」詐欺は、被害者が少額の前払い金を支払うことができれば、多額の支払いを約束します。 もちろん、被害者が「料金」を支払うと、支払いは一切受け取られません。 他のタイプの詐欺攻撃も、同様の原理で機能します。 被害者に何かをするよう説得します。通常は、金銭を渡すか、マルウェアをインストールします。 ランサムウェアもその例です。 被害者はお金を引き渡す必要があり、暗号化されたデータへのアクセスを失うリスクがあります。

対面でのソーシャル エンジニアリング

サイバー セキュリティの世界でソーシャル エンジニアリングが言及される場合、通常は現実世界での行動を指します。 豊富なサンプル シナリオがあります。 最も基本的なものの 1 つは、テールゲートと呼ばれます。 これは、誰かの後ろに十分近くにホバリングしているため、アクセス制御されたドアを開けたままにして、あなたを通り抜けさせます. テールゲーティングは、被害者があなたを助ける可能性のあるシナリオを設定することで強化できます. 1 つの方法は、喫煙休憩で外の喫煙者とたむろし、グループと一緒に屋内に戻ることです。 別の方法は、何かぎこちないものを運んでいるように見えることです。 このテクニックは、あなたが持っているものが他の人のためのものである場合、さらに成功する可能性が高くなります. たとえば、「あなたのチーム」のためにコーヒーマグのトレイを持っている場合、誰かがあなたのためにドアを開けたままにしておくようにという社会的圧力があります.

対面でのソーシャル エンジニアリングの多くは、シナリオを設定し、そのシナリオに自信を持つことに依存しています。 たとえば、ソーシャル エンジニアは、一般的に見過ごされがちな建設作業員や掃除人のふりをすることがあります。 善良なサマリア人のふりをして、「紛失した」USB サム ドライブを渡すと、従業員がそれを差し込む可能性があります。 その目的は、それが誰のものであるかを確認することですが、システムをマルウェアに感染させる可能性があります。

この種の対人ソーシャル エンジニアリング攻撃は、誰もそのようにだまされることを期待していないため、非常に成功する可能性があります。 ただし、現行犯で逮捕される可能性が非常に高い攻撃者にとって、それらは大きなリスクを伴います。

結論

ソーシャル エンジニアリングとは、特定の目的を達成するために人々を操作するという概念です。 1 つの方法は、実際に見える状況を作成して、被害者をだまして信じ込ませることです。 また、被害者が標準的なセキュリティ アドバイスに反する行動をとることに対する社会的圧力または期待があるシナリオを作成することもできます。 ただし、すべてのソーシャル エンジニアリング攻撃は、1 人または複数の被害者をだまして、攻撃者が望んでいるアクションを実行させることに依存しています。