ソーシャル・エンジニアリング
2007年 07月 02日
この言葉を知っている人は、いったいどれほどいるのだろうか。
簡単に言ってしまうと、いわゆるクラッキングがシステム上の不具合などを突いて侵入・改ざんなどを行うのに対して、ソーシャル・エンジニアリングは人間の心の隙を突くものだ。一例を挙げると、電話でパスワードを忘れたなどの嘘や偽名で、パスワードを聞き出したりする。そんなバカなと思うかもしれないが、これはかなり有効な手口なんだよね。どんなにシステムが強固になろうとも、人間はさほど変わらず、意識の低い人はいっぱいいるものだ。
先日、利用している携帯電話の会社から電話がかかってきた。新しいサービスの紹介だという。毎月紙で届く料金明細がウェブ上で確認可能になり、希望すればメールでも知らせてくれる。料金はかからずポイントがつく。まぁ、それなら申し込んでもいいかなってことで話を進め、簡単な本人確認を行った。その後オペレータはこう言った。
「それでは、お客様の暗証番号を教えて下さい。」
ぴたっ。
「あの…言わないとダメですか?」
「ええ、申し込みをしていただくためには暗証番号が必要なんです。」
「すいませんが、今回は申し込みは見合わせます。パスワードや暗証番号は、電話で言ったりするものではないと思っているので。」
と言うわけで、断りました。恐らくマニュアル的にオペレータの言ったことは正しくて、不正などはないのだと思いますが、私のポリシーが受け付けなかったので。
でも、もしこれが悪意を持った第三者だったら?つまりは、そういうことです。
皆さんもご注意を。特に、うまい話が来たときなどは気をつけて下さいね。
簡単に言ってしまうと、いわゆるクラッキングがシステム上の不具合などを突いて侵入・改ざんなどを行うのに対して、ソーシャル・エンジニアリングは人間の心の隙を突くものだ。一例を挙げると、電話でパスワードを忘れたなどの嘘や偽名で、パスワードを聞き出したりする。そんなバカなと思うかもしれないが、これはかなり有効な手口なんだよね。どんなにシステムが強固になろうとも、人間はさほど変わらず、意識の低い人はいっぱいいるものだ。
先日、利用している携帯電話の会社から電話がかかってきた。新しいサービスの紹介だという。毎月紙で届く料金明細がウェブ上で確認可能になり、希望すればメールでも知らせてくれる。料金はかからずポイントがつく。まぁ、それなら申し込んでもいいかなってことで話を進め、簡単な本人確認を行った。その後オペレータはこう言った。
「それでは、お客様の暗証番号を教えて下さい。」
ぴたっ。
「あの…言わないとダメですか?」
「ええ、申し込みをしていただくためには暗証番号が必要なんです。」
「すいませんが、今回は申し込みは見合わせます。パスワードや暗証番号は、電話で言ったりするものではないと思っているので。」
と言うわけで、断りました。恐らくマニュアル的にオペレータの言ったことは正しくて、不正などはないのだと思いますが、私のポリシーが受け付けなかったので。
でも、もしこれが悪意を持った第三者だったら?つまりは、そういうことです。
皆さんもご注意を。特に、うまい話が来たときなどは気をつけて下さいね。
by willfarth
| 2007-07-02 12:52
| その他