サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ソーシャルエンジニアリングの種類と実際に使用されるツールについて



サイバー攻撃の前段階として行われる「ソーシャルエンジニアリング」には、大きく分けて2つの種類が存在します。

1つ目は、前回のコラムでご紹介した、ゴミや郵便物、思い込みなどの心理や生活の中に溢れるアナログリソースを利用し、ターゲットに心理的攻撃を仕掛ける「ヒューマンベースアタック」です。

2つ目は、コンピューターやSNS等のサービス、Webサイト等を利用しターゲットに心理的攻撃を仕掛ける「コンピューターベースアタック」です。

今回のコラムでは、この「コンピューターベースアタック」について解説していきます。

コンピューターベースアタックについて

コンピューターベースアタックの具体例は、偽の情報やメール、偽のログインページなどが挙げられます。サイバーセキュリティに多少の知識がある方であれば、比較的警戒している部分ですね。

玄人専用手法ではない

技術的に考えた場合、“玄人のハッカー”による攻撃のように見える「コンピューターベースアタック」ですが、実は少しの知識を持った人間なら誰でも可能な攻撃手法なのです。

このような技術や知識を使って、イタズラに安易な考えで実行してしまうスクリプトキディや、ライバル会社から企業情報を盗み出そうとする企業のSEなどが現実に存在します。

使用されるツール

では、実際「コンピューターベースアタック」とはどのように行われるのか解説していきます。

例えどんなに高度なスキルを持ち合わせている攻撃者と言えども、映画のようにコンピューターやOSを使用しカタカタとコマンドを打ってエンターキー押したら完了!というわけには行きません。攻撃者は、WindowsでもMacでもない、もっと簡単に攻撃できるテストツール満載の、“特別なソフト”を使います。それが、伝家の宝刀「Kali Linux」です。

Kali Linuxとは

Kali Linux使用画像

Kali linuxを簡単に説明すると、Debian(デビアン)というフリーのOSをベースに、その中にワードやエクセル、ゲームの代わりに、ハッキングやクラッキングに必要なツールをこれでもかと搭載させたソフトといったものです。

ネットから簡単にダウンロードできる上、HDDやUSBメモリに入れることもできるため“仮想マシン”としても使用可能となります。

過去に一斉を風靡した有名な「Back Track」の後継になり、ペネトレーションテスト(侵入テスト)などに用いられますが、その内容からハッカー御用達のソフトでもあるのです。

2種類の攻撃への対応が求められる

このように「コンピューターベースアタック」を行う際に必要なものは全て、誰でも、いつでも、どこでも、簡単に入手できる環境があります。誰でも攻撃者になり得るのです。このことを、我々は知識として持たなくてはなりません。

そして、「ヒューマンベースアタック」と「コンピューターベースアタック」この2種類のソーシャルエンジニアリングを巧みに使いこなすのが“攻撃者”です。どちらかが疎かになっても攻撃は成功しません。逆に言えば、この2種類のソーシャルエンジニアリングに完全対応できている場合、その鉄壁の守りを崩すのは並大抵の事ではありません。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。