最近のニュースを見て、人間の感情や思考が他人の利益のためにどのように利用されるのか (あるいは利用されているのか) を知りました。皆さんのほぼ全員が、世界中を偵察するNSAの内部告発者、エドワード・スノーデンを知っています。ロイター通信の報道によると、同氏は後に漏洩したデータの一部を回収するため、約20~25人のNSA職員にパスワードを渡させたという。たとえ最も強力で最高のセキュリティ ソフトウェアを使用していても、企業ネットワークがいかに脆弱であるかを想像してみてください。
ソーシャルエンジニアリングとは
どのような業界であっても、人間の弱さ、好奇心、感情、その他の特性が、違法なデータ抽出によく利用されてきました。しかし、IT 業界はこれにソーシャル エンジニアリングという名前を付けました。私はソーシャルエンジニアリングを次のように定義しています。
「外部の人物が、組織のデータを違法に取得する意図を持って、何らかの手段で組織の 1 人以上の従業員を制御する方法」
同じニュース記事からもう 1 行引用したいと思います。治安当局は、隣の個室の男は信頼できないかもしれないという考えに苦慮している”。ここの文脈に合わせてステートメントを少し変更しました。 「参考文献」セクションのリンクを使用してニュース全文を読むことができます。
言い換えれば、ソーシャル エンジニアリングはそれに対処する技術よりもはるかに速く進化しているため、組織のセキュリティを完全に制御することはできません。ソーシャル エンジニアリングには、誰かに電話して、テクニカル サポートであると告げ、ログイン資格情報を尋ねるような行為が含まれます。あなたも、宝くじに関するフィッシングメール、ビジネスパートナーを求める中東やアフリカの富裕層に関するフィッシングメール、個人情報を求める求人情報などを受け取ったことがあるのではないでしょうか。
フィッシング攻撃とは異なり、ソーシャル エンジニアリングは個人間の直接的なやり取りがほとんどです。前者 (フィッシング) は餌を使用します。つまり、「釣り」をしている人々は、あなたがそれに騙されることを期待して、あなたに何かを提供しています。ソーシャル エンジニアリングは、社内の従業員の信頼を勝ち取り、必要な会社の詳細を漏洩させることに重点を置いています。
既知のソーシャル エンジニアリング手法
たくさんありますが、それらはすべて人間の基本的な傾向を利用して、あらゆる組織のデータベースに侵入します。最もよく使用されている (おそらく時代遅れの) ソーシャル エンジニアリング手法は、人々に電話して会って、コンピューターをチェックする必要があるテクニカル サポートから来たと信じ込ませることです。信頼を確立するために偽の ID カードを作成することもできます。場合によっては、犯人が国家公務員を装うこともある。
もう 1 つの有名な手法は、対象の組織に自分の個人を雇用することです。この詐欺師はあなたの同僚なので、会社の詳細については信頼できるかもしれません。外部の従業員が何かを手伝ってくれるかもしれないので、あなたはその義務を感じ、そのとき彼らは最大限の成果を得ることができます。
電子ギフトを使用している人に関するレポートもいくつか読みました。会社の住所に届いた高級 USB スティックや、車の中に置かれたペンドライブは、大惨事になる可能性があります。あるケースでは、誰かが故意に USB ドライブを餌として駐車場に残しました。
企業ネットワークの各ノードで適切なセキュリティ対策が講じられていれば幸いです。それ以外の場合、これらのノードは、贈り物または「忘れられた」ペン ドライブ内のマルウェアが中央システムに簡単に侵入する経路を提供します。
そのため、ソーシャル エンジニアリング手法の包括的なリストを提供することはできません。それは中心に科学があり、その上に芸術が組み合わされています。そして、どちらにも境界がないことはご存知でしょう。ソーシャル エンジニアリング担当者は、ワイヤレス デバイスを悪用して利益を得る可能性のあるソフトウェアを開発しながら創造性を高め続けています。社内Wi-Fiへのアクセス。
ソーシャルエンジニアリングを防止する
管理者がソーシャル エンジニアリング ハッキングを防ぐために使用できる定理はないと思います。技術は常に変化するため、IT 管理者が何が起こっているかを追跡することが困難になります。
もちろん、適切なセキュリティ対策を講じるために十分な情報を得るには、ソーシャル エンジニアリングのニュースを監視する必要があります。たとえば、USB デバイスの場合、管理者は個々のノードで USB ドライブをブロックし、より優れたセキュリティ システムを備えたサーバーでのみ USB ドライブを許可できます。同様に、Wi-Fi には、ほとんどのローカル ISP が提供するよりも優れた暗号化が必要になります。
従業員をトレーニングし、さまざまな従業員グループに対してランダムなテストを実施すると、組織の弱点を特定するのに役立ちます。弱い者を訓練したり注意したりするのは簡単だろう。警戒は最大の防御です。強調すべきは、プレッシャーに関係なく、たとえチームリーダーとであってもログイン情報を共有すべきではないということです。チーム リーダーがメンバーのログインにアクセスする必要がある場合、マスター パスワードを使用できます。これは、安全を確保し、ソーシャル エンジニアリングのハッキングを回避するための 1 つの提案にすぎません。
肝心なのは、マルウェアやオンライン ハッカーとは別に、IT 担当者もソーシャル エンジニアリングにも気を配る必要があるということです。管理者は、データ侵害の方法 (パスワードを書き留めるなど) を特定すると同時に、スタッフがソーシャル エンジニアリング手法を特定して完全に回避できるようにする必要もあります。ソーシャルエンジニアリングを防ぐ最善の方法は何だと思いますか?興味深い事例を見つけましたら、ぜひ共有してください。
サイバー犯罪者が広く利用しているソーシャルエンジニアリング攻撃組織に穴をあけて利用するための最も洗練された方法の 1 つとして巧妙に工夫された会社の従業員や個人をだまして機密および制限付きの会社データを引き渡す方法。マイクロソフト彼らの新作をリリースしました電子ブックこれは、ソーシャル エンジニアリング攻撃をより適切に検出するのに役立ち、そのような攻撃に関与するさまざまな手法について洞察に富んだ紹介を提供し、組織の侵害を確実に防ぎます。
ソーシャルエンジニアリング攻撃
Microsoft は、最も弱いセキュリティリンクあなたの組織では –あなた自身のエンドユーザー。ソーシャル エンジニアリング手法への関心が高まるという深刻な問題について、Microsoft はソーシャル エンジニアリング手法の大幅な増加に関する情報を共有しています。270%FBIが特定したソーシャルエンジニアリング被害者の数。
ソーシャル エンジニアリングは、会社の機密情報や貴重な情報を漏らすように従業員を操作するための、簡単でありながら非常に効果的な方法です。ソーシャルエンジニアリングにはいくつかの手法があります。通常、関与する心理操作, ソーシャル エンジニアリング攻撃者は、高度かつまったく疑いを持たない方法で従業員をターゲットにし、パスワードや銀行情報などの機密情報を求めたり、さらにはコンピュータを制御して悪意のあるソフトウェアをシステムにインストールしたりします。
これらのハッカーは、組織のネットワークにおける重大なセキュリティのギャップを知っていると言っても過言ではありません。企業の機密情報は、組織のセキュリティ ネットワーク内の正体不明の弱者により、修復不可能な限界まで暴露される可能性があります。ソーシャル エンジニアが人混みの中を歩きます。彼らはあなたが会って挨拶する日常の顔です。忍耐と信頼のゲームで、彼らは常に簡単なターゲットを狙っています。ソーシャル エンジニアリング技術に慣れておくと、貴重な情報が損なわれる前に悪意のある人物を特定できるようになります。
最初の商用ウイルス対策プログラムの有名な開発者の言葉を引用して、ジョン・マカフィー、マイクロソフトは次のように述べています。
「ソーシャル エンジニアリングは平均的なハッカーのツールキットの約 75% を占めており、最も成功したハッカーでは 90% 以上に達します。」
恐ろしい後遺症を伴うソーシャル エンジニアリングは、実際の解決策がほとんどない現実的な問題です。以下に、このような攻撃に関する洞察の一部を示します。
- 攻撃者は次のような方法でコンピュータに感染することが増えています。人を騙す自分たちでやることに–いたずら電話、フィッシング攻撃、悪意のある電子メールは、従業員が自らの手で会社の評判を傷つける方法のほんの一例にすぎません。
- 20億以上のモバイルアプリ個人データを盗む喜んでダウンロードされている – これは恐ろしい事実です。平均的なスマートフォン ユーザーは、攻撃者が情報を入手するのに役立つ悪意のあるモバイル アプリのダウンロードを簡単にターゲットにすることができます。
- ソーシャルメディアでは、フィッシングマルウェアの 10 倍の可能性があります – ソーシャル メディアは、そのペースが速いため、ハッカーが正当に見える偽のアカウントを作成し、そこにいるエンド ユーザーをターゲットにするもう 1 つの媒体になりつつあります。
ソーシャル エンジニアリング攻撃から組織を保護する
時間の経過とともに、組織にとって、脆弱な人々を保護し、脆弱なデータを悪意のある者の手に渡さないことが差し迫った懸念事項になってきています。関連するリスクを軽減するには、計画を立て、実際の予防戦略に取り組む必要があります。 Microsoft は、その電子ブックの中で、わかりやすいセキュリティ ポリシーを明確に表現するのに役立つさまざまな方法を紹介しています。
最後に、CISCO の CEO、ジョン・チェンバースの言葉を引用して、賢者への言葉は次のように述べています。
「企業には 2 つのタイプがあります。ハッキングされた企業と、ハッキングされたことに気づいていない企業です。」
今すぐ読んでください:ソーシャルエンジニアリングマルウェアとは何ですかそしてどのような予防策を講じることができますか?
参考文献
ロイター通信、スノーデン氏がNSA職員を説得してログイン情報を入手させた
