ketyiaの学んだこと議事録

このサイトでは学んだことを記事にまとめていきます

CNDの勉強4 ~ソーシャルエンジニアリングの攻撃~

こんばんわ!

本日もCNDの勉強をしていきましょう!

前回はアプリケーションの攻撃についてまとめました。
興味ある方は下記を読んでください~

learnketyia.hatenablog.jp


今回は第4回、「ソーシャルエンジニアリングの攻撃」についてまとめていきます。

ソーシャルエンジニアリング攻撃の用語


ソーシャルエンジニアリング


秘密情報を開示するように人々を操る技法

なりすまし


攻撃者が正当な人、権限のある人のフリをする

盗聴


会話やメッセージを不正に聞いたり、のぞき見ること

ショルダーサーフィン


他人の肩越し等から直接観察手法で情報を取得する

ダンプスターダイビング


ゴミ箱から機密情報を探し出す

ピギーバギング


権限のある人が、ない人にセキュリティドアの通過を許してしまうこと

テイルゲーティング


権限のある人の後ろについて、セキュリティ保護エリアに入ること

なりすましについて


この攻撃は、とても威力のある攻撃だと思います。
人は何かを信じるときに、だれに言われたかを意識しているはずです。そこをだまして突くのはキツイだろうなと感じるからです。

この攻撃でだますパターンは下記が想定されます。

・正当なエンドユーザのフリ
 ⇒身分を告げ、機密情報の開示を要求する

・重要なユーザのフリ
 ⇒会社のVIPや得意先を装い、断りにくい環境下で機密情報を要求する

・技術サポートのフリ
 ⇒トラブルシューティング等の技術的な修正を言い分にログイン情報を要求する

まとめ


今日はここまで~

短いですが、とても重要なことを学んできたと思います。
技術的な防御策も大事ですが、物理的なことの対策を怠ると大損害を受けることになりますね。。

ここまで読んでいただきありがとうございました!