日常の油断や隙をつくソーシャルエンジニアリングは、誰もが被害に遭う可能性が高いものです。
何気ない行為や日常の隙を突くソーシャルエンジニアリングは対策を日ごろから実施しなければ防ぐことは難しいでしょう。
ソーシャルエンジニアリングの対策方法をしっかりと理解して、ソーシャルエンジニアリングのリスク軽減に努めましょう。
ソーシャルエンジニアリング対策の必要性
人間の行動のミスや心理的な隙を突いて、個人情報などを入手する攻撃や行為のことをソーシャルエンジニアリングと呼びます。
ソーシャルエンジニアリングは情報技術を使わずに油断や思い込みを利用してパスワードの不正入手をする行為も含まれるセキュリティ脅威といえるものです。
高度な技術を必要とせずにアナログで誰でも実行可能なソーシャルエンジニアリングの手口も多数あり、逆に言えば誰もが行うことができる、誰もが被害に遭う可能性があるため、ソーシャルエンジニアリングへの対策は必須です。
そのため、テクニカルな通常のセキュリティ対策に加えて、ソーシャルエンジニアリング対策が必要になります。
ソーシャルエンジニアリング対策は手口や種類によって変わる
ソーシャルエンジニアリングはアナログな手口が多いので手口によって対策も異なります。
パスワードを入力している時に入力画面やキー操作などを後ろから覗き見るショルダーハッキングという方法には、後ろから覗かれないような対策が必要です。
トラッシングと呼ばれる、物理的にゴミ箱からパスワードが書いてある紙を盗むなどの行為に対してはシュレッダーの徹底による対策が必要です。
他人へなりすましてターゲットの信頼を得た上で情報を詐取するプリテキスティングの対策は、発信元の確認を行うなどの対策が必要です。
ソーシャルエンジニアリング対策を実施しようと考えた場合に、起こり得るソーシャルエンジニアリングの手口や種類を洗い出し、それぞれに適応した対策を行うようにしましょう。
ソーシャルエンジニアリングの対策方法
実際にソーシャルエンジニアリングの脅威への対策はどのように進めるとよいのでしょうか。
ソーシャルエンジニアリングの対策方法を確認していきましょう。
ソーシャルエンジニアリングの認識と警戒を強める
ソーシャルエンジニアリングの対策の第一歩は、ソーシャルエンジニアリングについて理解することです。
理解を深めていくことで、そんなこと?と思ってしまうようなアナログな手口を知って逆に軽視してしまうかもしれませんが、そのような心理的な隙をついた攻撃がソーシャルエンジニアリングです。
簡単で安直な手口が多いからこそ、誰もが実行できて誰もが被害者になる可能性は高いので、様々なソーシャルエンジニアリングの手口や事例などを学び、危険性を認識して警戒心を強めることが大切です。
定期的なセキュリティ教育を実施する
ソーシャルエンジニアリングはまずは警戒することが重要です。
そのためには、セキュリティポリシーを策定した上で、定期的にソーシャルエンジニアリングの知識と対策を従業員へしっかりと教育することが大切です。
ひとりひとりの意識がソーシャルエンジニアリングの被害を防ぐために必要になります。
セキュリティソフトを導入する
本物そっくりの偽サイトに誘導してIDやパスワードなどの個人情報を抜き取るフィッシング詐欺や、感染することで端末内のデータを不正に外部へ送信するスパイウェアなど、セキュリティソフトで対策できる手口もあります。
ソーシャルエンジニアリングはもちろんテクニカルな攻撃からの対策もなるため、セキュリティ対策ソフトの導入は必要不可欠です。
OSやセキュリティソフトの最新化
セキュリティソフトは導入するだけでは不十分で、パターンファイルや検索エンジンを常に最新化しておく必要があります。
また、OSやブラウザなども常に最新化して脆弱性を狙われないような対策を実施しましょう。
覗き見防止の対策
ショルダーハッキングは、後ろから入力操作や画面を盗み見る古典的な方法ですが、覗き見防止対策を施すことで対策可能です。
具体的には、重要な情報を入力する時には周囲を確認して見られていないことを意識したり、モニターにプライバシーシートを貼ることで角度によって画面が見えなくなるようにする方法があります。
クリアデスクの徹底
机の上に重要な情報が書かれた書類を放置することで、その情報を盗まれたり見られたりする可能性があります。
また、机の上が散乱していると万が一書類の盗難に遭った場合も発見が遅くなる可能性があるので、離席時や帰宅時には机の上に重要な情報を置きっぱなしにしないようにクリアデスクを徹底しましょう。
シュレッダーの徹底
捨てたはずの書類でも、ゴミ箱を漁るトラッシングによって情報が盗まれる可能性があります。
重要な情報が書いた書類は、必ずシュレッダーにかけるようにして確実に処分することを徹底してください。
執務内のセキュリティ強化
正規の社員が入場に合わせて一緒にすり抜けたり、偽の社員証を作成して警備の目を潜り抜けるテールゲーティングと呼ばれる手口に対しての対策は、オフィス内のセキュリティが重要です。
離席時のPCロックやセキュリティワイヤーの設置、入退室記録や生体認証の導入など、執務室への物理的な対策も有効です。
発信元を確認する
電話やメールでなりすましをされて、情報を聞き出されるプリテキスティングを防ぐためには、発信元を確認することが重要です。
メールの場合はメールアドレスや文面をよく確認し、電話の場合は本人確認を行うなど、なりすましに気づけるような対策が必要です。
書類やデータの管理を徹底する
書類はファイリングして施錠のできる引き出しやキャビネットに保存するなど、簡単に第3者に見られないようにする対策をしましょう。
また、データに関しても、アクセス権の設定やログ管理などによって不正な操作ができないような仕組みが必要です。
メールの添付ファイルやリンクをむやみに開かない
身元のわからないメールや怪しいメールの添付ファイルを開いたり、記載されているURLをクリックしないようにしましょう。
ウイルスやマルウェアに感染したり、フィッシングサイトに誘導されることで甚大な被害に遭う可能性があります。
別経路での本人確認を実施する
なりすましの対策としては別経路での本人確認を実施する対策があります。
メールが来た場合には、電話やチャットで本人から送られたものであるか確認したり、見知らぬ携帯電話からの着信があった場合は、会社電話にかけなおしたりすることで本人からの発信だったかが確認できます。
メールの利用を減らす
メールは、ウイルスやマルウェア感染、フィッシング詐欺やなりすましなど様々なリスクがあります。
メールのたびに別経路で本人確認することも手間や時間を要するので効率的とは言えません。
極論ですが、メールの利用自体を減らすことができれば効果的な対策となります。
たとえば、ファイルを相手に送りたい場合にはメールで添付するのではなく、別の手段でファイル共有することでメールの利用を減らすことが可能です。
ファイルの共有方法はいくつかありますが、オンラインストレージを活用することが最もおすすめです。
オンラインストレージを活用してリスク軽減しよう
オンラインストレージは、クラウド事業者が提供しているインターネット上のストレージを利用するサービスです。
国産オンラインストレージ「セキュアSAMBA」は、様々なデバイスからアクセスすることができ、アクセス経路とファイルが全て暗号化されるため、セキュリティも強固で安心して利用することができます。
ファイルのURLを相手に知らせるだけでファイルの共有ができますし、ファイルにアクセス権を設定することでURLを第三者に知られてもアクセスできないようにすることも可能です。
ソーシャルエンジニアリングの対策のひとつとして、無料から使えるセキュアSAMBAのご利用を是非、ご検討ください。