無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

サイバー攻撃の前段階として行われる「ソーシャルエンジニアリング」には、大きく分けて2つの種類が存在します。

1つ目は、前回のコラムでご紹介した、ゴミや郵便物、思い込みなどの心理や生活の中に溢れるアナログリソースを利用し、ターゲットに心理的攻撃を仕掛ける「ヒューマンベースアタック」です。

ソーシャルエンジニアリングとは？具体的な手法から対策を考える

2018.4.5

最もアナログな攻撃・不正アクセスである「ソーシャルエンジニアリング」。悪意ある人間が善良な市民や企業・団体など様々なターゲットをおとしいれる時、先ず行われる攻撃ですし、技術的な知識が不要なので、誰でも被害に遭う可能性があるのです。 こ

2つ目は、コンピューターやSNS等のサービス、Webサイト等を利用しターゲットに心理的攻撃を仕掛ける「コンピューターベースアタック」です。

今回のコラムでは、この「コンピューターベースアタック」について解説していきます。

コンピューターベースアタックについて

コンピューターベースアタックの具体例は、偽の情報やメール、偽のログインページなどが挙げられます。サイバーセキュリティに多少の知識がある方であれば、比較的警戒している部分ですね。

玄人専用手法ではない

技術的に考えた場合、“玄人のハッカー”による攻撃のように見える「コンピューターベースアタック」ですが、実は少しの知識を持った人間なら誰でも可能な攻撃手法なのです。

このような技術や知識を使って、イタズラに安易な考えで実行してしまうスクリプトキディや、ライバル会社から企業情報を盗み出そうとする企業のSEなどが現実に存在します。

使用されるツール

では、実際「コンピューターベースアタック」とはどのように行われるのか解説していきます。

例えどんなに高度なスキルを持ち合わせている攻撃者と言えども、映画のようにコンピューターやOSを使用しカタカタとコマンドを打ってエンターキー押したら完了！というわけには行きません。攻撃者は、WindowsでもMacでもない、もっと簡単に攻撃できるテストツール満載の、“特別なソフト”を使います。それが、伝家の宝刀「Kali Linux」です。

Kali Linuxとは

Kali Linux使用画像

Kali linuxを簡単に説明すると、Debian（デビアン）というフリーのOSをベースに、その中にワードやエクセル、ゲームの代わりに、ハッキングやクラッキングに必要なツールをこれでもかと搭載させたソフトといったものです。

ネットから簡単にダウンロードできる上、HDDやUSBメモリに入れることもできるため“仮想マシン”としても使用可能となります。

過去に一斉を風靡した有名な「Back Track」の後継になり、ペネトレーションテスト（侵入テスト）などに用いられますが、その内容からハッカー御用達のソフトでもあるのです。

2種類の攻撃への対応が求められる

このように「コンピューターベースアタック」を行う際に必要なものは全て、誰でも、いつでも、どこでも、簡単に入手できる環境があります。誰でも攻撃者になり得るのです。このことを、我々は知識として持たなくてはなりません。

そして、「ヒューマンベースアタック」と「コンピューターベースアタック」この2種類のソーシャルエンジニアリングを巧みに使いこなすのが“攻撃者”です。どちらかが疎かになっても攻撃は成功しません。逆に言えば、この2種類のソーシャルエンジニアリングに完全対応できている場合、その鉄壁の守りを崩すのは並大抵の事ではありません。