読み方 ： ベイトこうげき

概要

攻撃者は利用者が思わず手に取ったり開いたりしたくなるような内容を用意する。例えば、興味を引くタイトルのファイルやソフトウェア、音楽や動画、機密情報のように見える文書などが餌として利用されることがある。

利用者がこれらのファイルを開いたり実行したりすると、内部に仕込まれたマルウェアが起動したり、不正なサイトへ誘導されたりして、攻撃が実行に移される仕組みである。技術的な脆弱性だけでなく、人の心理的を巧みに利用して攻撃を行う。

具体例としては、公共の場所や企業のオフィスにマルウェアを仕込んだUSBメモリを意図的に置き、拾った人がパソコンに接続することを狙う手法が知られている。また、インターネット上で無料ソフトや人気コンテンツを装ったダウンロードファイルを配布し、実行した利用者の端末に不正プログラムを導入する手口もある。ソフトウェアの脆弱性などを利用するのではなく、利用者が自身の正当なアクセス権限に基づいて自発的に操作を行うため、攻撃コードが実行できる操作の幅が広く、被害が拡大しやすい。

ベイト攻撃は、フィッシングやプリテキスティングなどと同様に、人間の隙をつくソーシャルエンジニアリング攻撃の一形態として位置付けられる。企業などの組織における情報セキュリティ対策では、技術的な防御だけでなく、未知の記録媒体を使用しない、出所不明のファイルを開かないといった利用者教育や運用ルールの整備が重要な対策となる。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。