ソーシャルエンジニアリングの種類と実際に使用されるツールについて

[更新]

この記事は約 3 分で読めます。



サイバー攻撃の前段階として行われる「ソーシャルエンジニアリング」には、大きく分けて2つの種類が存在します。

1つ目は、前回のコラムでご紹介した、ゴミや郵便物、思い込みなどの心理や生活の中に溢れるアナログリソースを利用し、ターゲットに心理的攻撃を仕掛ける「ヒューマンベースアタック」です。

ソーシャルエンジニアリングとは|攻撃者のリアルな手法から対策を考える

2つ目は、コンピューターやSNS等のサービス、Webサイト等を利用しターゲットに心理的攻撃を仕掛ける「コンピューターベースアタック」です。

今回のコラムでは、この「コンピューターベースアタック」について解説していきます。

コンピューターベースアタックについて

玄人専用手法ではない

コンピューターベースアタックの具体例は、偽の情報やメール、偽のログインページなどが挙げられます。サイバーセキュリティに多少の知識がある方であれば、比較的警戒している部分ですね。

技術的に考えた場合、“玄人のハッカー”による攻撃のように見える「コンピューターベースアタック」ですが、実は少しの知識を持った人間なら誰でも可能な攻撃手法なのです。

このような技術や知識を使って、イタズラに安易な考えで実行してしまうスクリプトキディや、ライバル会社から企業情報を盗み出そうとする企業のSEなどが現実に存在します。

使用されるツール

では、実際「コンピューターベースアタック」とはどのように行われるのか解説していきます。

例えどんなに高度なスキルを持ち合わせている攻撃者と言えども、映画のようにコンピューターやOSを使用しカタカタとコマンドを打ってエンターキー押したら完了!というわけには行きません。

攻撃者は、WindowsでもMacでもない、もっと簡単に攻撃できるテストツール満載の、“特別なソフト”を使います。

それが、伝家の宝刀「Kali Linux」です。

Kali Linuxとは

Kali Linux使用画像

Kali linuxを簡単に説明すると、Debian(デビアン)というフリーのOSをベースに、その中にワードやエクセル、ゲームの代わりに、ハッキングやクラッキングに必要なツールをこれでもかと搭載させたソフトといったものです。

ネットから簡単にダウンロードできる上、HDDやUSBメモリに入れることもできるため“仮想マシン”としても使用可能となります。

過去に一斉を風靡した有名な「Back Track」の後継になり、ペネトレーションテスト(侵入テスト)などに用いられますが、その内容からハッカー御用達のソフトでもあるのです。

2種類の攻撃への対応が求められる

このように「コンピューターベースアタック」を行う際に必要なものは全て、誰でも、いつでも、どこでも、簡単に入手できる環境があります。誰でも攻撃者になり得るのです。このことを、我々は知識として持たなくてはなりません。

そして、「ヒューマンベースアタック」と「コンピューターベースアタック」この2種類のソーシャルエンジニアリングを巧みに使いこなすのが“攻撃者”です。どちらかが疎かになっても攻撃は成功しません。

逆に言えば、この2種類のソーシャルエンジニアリングに完全対応できている場合、その鉄壁の守りを崩すのは並大抵の事ではありません。

セキュリティ診断サービス
あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配... サイバー攻撃されて問題になる前にしっかりチェック!

廣野功一郎

一般社団法人SKY 代表理事/独立行政法人 情報処理推進機構 IPA セキュリティプレゼンター >プロフィール詳細はこちら

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ
作者:   サイバー攻撃