こんばんわ!
本日もCNDの勉強をしていきましょう!
前回はアプリケーションの攻撃についてまとめました。
興味ある方は下記を読んでください~
今回は第4回、「ソーシャルエンジニアリングの攻撃」についてまとめていきます。
ソーシャルエンジニアリング攻撃の用語
ソーシャルエンジニアリング
秘密情報を開示するように人々を操る技法
なりすまし
攻撃者が正当な人、権限のある人のフリをする
盗聴
会話やメッセージを不正に聞いたり、のぞき見ること
ショルダーサーフィン
他人の肩越し等から直接観察手法で情報を取得する
ダンプスターダイビング
ゴミ箱から機密情報を探し出す
ピギーバギング
権限のある人が、ない人にセキュリティドアの通過を許してしまうこと
テイルゲーティング
権限のある人の後ろについて、セキュリティ保護エリアに入ること
なりすましについて
この攻撃は、とても威力のある攻撃だと思います。
人は何かを信じるときに、だれに言われたかを意識しているはずです。そこをだまして突くのはキツイだろうなと感じるからです。
この攻撃でだますパターンは下記が想定されます。
・正当なエンドユーザのフリ
⇒身分を告げ、機密情報の開示を要求する
・重要なユーザのフリ
⇒会社のVIPや得意先を装い、断りにくい環境下で機密情報を要求する
・技術サポートのフリ
⇒トラブルシューティング等の技術的な修正を言い分にログイン情報を要求する
まとめ
今日はここまで~
短いですが、とても重要なことを学んできたと思います。
技術的な防御策も大事ですが、物理的なことの対策を怠ると大損害を受けることになりますね。。
ここまで読んでいただきありがとうございました!
