ソーシャルエンジニアリングの種類と実際に使用されるツールについて

[更新]



サイバー攻撃の前段階として行われる「ソーシャルエンジニアリング」には、大きく分けて2つの種類が存在します。

1つ目は、前回のコラムでご紹介した、ゴミや郵便物、思い込みなどの心理や生活の中に溢れるアナログリソースを利用し、ターゲットに心理的攻撃を仕掛ける「ヒューマンベースアタック」です。

ソーシャルエンジニアリングとは|攻撃者のリアルな手法から対策を考える

2つ目は、コンピューターやSNS等のサービス、Webサイト等を利用しターゲットに心理的攻撃を仕掛ける「コンピューターベースアタック」です。

今回のコラムでは、この「コンピューターベースアタック」について解説していきます。

コンピューターベースアタックについて

玄人専用手法ではない

コンピューターベースアタックの具体例は、偽の情報やメール、偽のログインページなどが挙げられます。サイバーセキュリティに多少の知識がある方であれば、比較的警戒している部分ですね。

技術的に考えた場合、“玄人のハッカー”による攻撃のように見える「コンピューターベースアタック」ですが、実は少しの知識を持った人間なら誰でも可能な攻撃手法なのです。

このような技術や知識を使って、イタズラに安易な考えで実行してしまうスクリプトキディや、ライバル会社から企業情報を盗み出そうとする企業のSEなどが現実に存在します。

使用されるツール

では、実際「コンピューターベースアタック」とはどのように行われるのか解説していきます。

例えどんなに高度なスキルを持ち合わせている攻撃者と言えども、映画のようにコンピューターやOSを使用しカタカタとコマンドを打ってエンターキー押したら完了!というわけには行きません。

攻撃者は、WindowsでもMacでもない、もっと簡単に攻撃できるテストツール満載の、“特別なソフト”を使います。

それが、伝家の宝刀「Kali Linux」です。

Kali Linuxとは

Kali Linux使用画像

Kali linuxを簡単に説明すると、Debian(デビアン)というフリーのOSをベースに、その中にワードやエクセル、ゲームの代わりに、ハッキングやクラッキングに必要なツールをこれでもかと搭載させたソフトといったものです。

ネットから簡単にダウンロードできる上、HDDやUSBメモリに入れることもできるため“仮想マシン”としても使用可能となります。

過去に一斉を風靡した有名な「Back Track」の後継になり、ペネトレーションテスト(侵入テスト)などに用いられますが、その内容からハッカー御用達のソフトでもあるのです。

2種類の攻撃への対応が求められる

このように「コンピューターベースアタック」を行う際に必要なものは全て、誰でも、いつでも、どこでも、簡単に入手できる環境があります。誰でも攻撃者になり得るのです。このことを、我々は知識として持たなくてはなりません。

そして、「ヒューマンベースアタック」と「コンピューターベースアタック」この2種類のソーシャルエンジニアリングを巧みに使いこなすのが“攻撃者”です。どちらかが疎かになっても攻撃は成功しません。

逆に言えば、この2種類のソーシャルエンジニアリングに完全対応できている場合、その鉄壁の守りを崩すのは並大抵の事ではありません。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

一般社団法人SKY 代表理事/独立行政法人 情報処理推進機構 IPA セキュリティプレゼンター >プロフィール詳細はこちら

こちらのページもご覧ください。

作者:   サイバー攻撃