ソーシャルエンジニアリング 【social engineering】 ソーシャルハッキング / social hacking / ソーシャルクラッキング / social cracking

概要

ソーシャルエンジニアリングとは、コンピュータシステムにアクセスするために必要な情報(パスワードなど)やその手がかりを、それを知る本人や周辺者への接触や接近を通じて盗み取る手法の総称。
ソーシャルエンジニアリングのイメージ画像

コンピュータウイルスや通信の盗聴のような情報システムに直接介入する攻撃手法を用いず、物理的に本人の周辺に近づいて、人間の行動や心理に生じる隙を利用して重要な情報を得る手法を指す。

例えば、本人が端末にパスワード暗証番号を入力しているところに近づいて、背後から肩越しに入力内容を盗み見る「ショルダーハック」(shoulder surfing)がよく知られる。

他にも、本人が席を外した隙にメモや付箋を盗み見たり、ゴミとして捨てられた書類などを盗んだり、身分を詐称して電話をかけて情報を聞き出すといった手法が知られている。情報の盗み取りだけでなく、本人にしかできない手続きを本人になりすまして行わせる手法も含む場合がある。

また、架空請求詐欺やフィッシングのように、虚偽の発信元や内容を記した電子メールショートメッセージなどで受信者を騙し、ウイルス感染や偽サイトへの誘導、金銭の詐取など狙う手法も、電子的な手段を用いているがソーシャルエンジニアリングの一種に分類される場合もある。

(2020.2.25更新)

他の用語辞典による「ソーシャルエンジニアリング」の解説 (外部サイト)

資格試験などの「ソーシャルエンジニアリング」の出題履歴

▼ ITパスポート試験
令6 問73】 IoT機器のセキュリティ対策のうち、ソーシャルエンジニアリング対策として、最も適切なものはどれか。
令5 問89】 企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃はどれか。
令4 問91】 ソーシャルエンジニアリングに該当する行為の例はどれか。
平29秋 問65】 人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。
平28春 問58】 情報セキュリティにおけるソーシャルエンジニアリングヘの対策の例として、適切なものはどれか。
平28春 問86】 情報セキュリティにおけるソーシャルエンジニアリングの例として、適切なものはどれか。
平27春 問69】 ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。
平26秋 問63】 リスク対策のうち、ソーシャルエンジニアリングへの対策に該当するものはどれか。
平22春 問87】 攻撃者が、システムの利用者になりすましてシステム管理者に電話をかけ、パスワードを忘れたと言ってパスワードを初期化してもらい、システムに侵入した。

▼ 基本情報技術者試験
令4修1 問37】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
令2修7 問36】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
令2修6 問37】 ソーシャルエンジニアリングに分類される手口はどれか。
平31修1 問39】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
平30修12 問39】 ソーシャルエンジニアリングに分類される手口はどれか。
平29修6 問39】 ソーシャルエンジニアリングに分類される手口はどれか。
平28修12 問41】 標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。
平28修1 問37】 ソーシャルエンジニアリングに分類される手口はどれか。
平27秋 問39】 標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。
平27修6 問40】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
平26秋 問36】 ソーシャルエンジニアリングに分類される手口はどれか。
平26修7 問37】 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。
平26春 問41】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
平25修7 問40】 ソーシャルエンジニアリングに分類される手口はどれか。
平25修1 問44】 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
平23修6 問41】 ソーシャルエンジニアリングに分類される手口はどれか。