特に企業や組織は要注意 ソーシャルエンジニアリングの危険(1)効果的な攻撃に被害も拡大
去る9月、ISSE会議で、アーンスト アンド ヤングのコンサルタント、シャノン・コンへディが、企業はソーシャルエンジニアリングを用いての攻撃にもっと警戒を強めるべきだとのプレゼンテーションを行った。ISSEはInformation Security Solutions Europe(情報セキュリテ
国際
海外情報
ソーシャルエンジニアリングとは、データ盗難などを目的として不正にシステムにアクセスをするために、アカウントやパスワードなどを正規のユーザから聞きだしたりすることだ。コンヘディは、攻撃前に犯罪者がGoogleのようなツールや各企業のウェブサイトなどを用いて、調査や情報収集を行っていると警告した。
しかし、企業ではソーシャルエンジニアリングの危険を過小評価しがちで、実際には外部からソーシャルエンジニアリングにより情報を不正に獲得されていても気がついていないというのが実情だ。そのため、攻撃に対する防御で最も重要なのは従業員の教育と認識だという。
●実在の社名を使う犯罪者にだまされる
ソーシャルエンジニアリングを用いた攻撃で最も有名なものは、個人情報の収集を行う企業、Choice Pointの事件だろう。2005年に明らかになったもので、犯人は偽の運転免許証を用いてアカウントを開設。情報を不正に獲得したうえで、その情報を用いて物品を購入していた。Choice Pointは特定の条件を満たす相手に対し、消費者データの販売も行っている。
データ盗難犯は購入対象には該当していなかったが…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
RoamWiFi R10 に複数の脆弱性
-
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供