【最初のセキュリティ対策】ソーシャルエンジニアリングに騙されるな

おっくソ

こんにちは、おっくソです。

今回はITコンサルタントとして勤める僕が、ITに携わっていない人に向けて情報セキュリティの大切さをご紹介したいと思います。

 

あなたはスマートフォン(もしくは携帯電話)やパソコンを使っていますか?

この記事を読んでいるということは、使っていると思います。(紙やPDFではない限り)

 

突然ですがどういう仕組みで、あなたはこの記事をスマートフォンやパソコンで読めているか知っていますか?

スマートフォンやパソコンにインストールされたOS上で動くブラウザと呼ばれるアプリケーションによって、HTTPというプロトコルの上でサーバーにリクエストを送り、そのレスポンスデータがウェブサイトとして表示されています。

でもこの仕組みを理解できるのはIT業界の人くらいかもしれません。(仕組みを覚える必要はありません)

 

あなたが毎日利用しているインスタグラムやTwitterなどのSNS、なぜアプリのアイコンを押すだけであなたのタイムラインが表示されるのでしょうか?

機種変更などをしてからSNSを初めて使うときにはログインという行為を行なったはずなのに、なぜそれ以降はログインする必要がないのでしょうか?

それはログインに必要なパスワードなどの情報がスマートフォンの中に保存されているからです。

 

何が言いたいかというと、調べ物をするためにググったり、SNSを楽しんだりすることがスマートフォンという高性能なマシンによって、誰でも簡単にできるようになったわけです。

しかも“その仕組みを知る必要もなく”です。

ソーシャルエンジニアリングとは?

突然ですが、ソーシャルエンジニアリングという言葉を知っていますか?

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。
引用:国民のための情報セキュリティサイト

簡単に言うと、人間の心理的な隙や行動のミスにつけ込んでパスワードなどの大切な情報を盗む方法です。

テレビでよく見るインテリ眼鏡キャラがパソコンをカタカタするハッキングのようなことはしません。

具体例を挙げてみます。

国民のための情報セキュリティサイトでは、ソーシャルエンジニアリングの言葉の定義だけでなく、その具体例も説明されています。

  • 電話でパスワードを聞き出す
  • 肩越しにキー入力を見る(ショルダーハッキング)
  • ごみ箱をあさる(トラッシング)

確かにハッキングのような情報技術を使用しているわけではなく、物理的に大切な情報を盗み取る方法です。

これら以外にも、業務上メールや利用サービスメールなどを装って不正リンクにアクセスさせたりパスワードを入力させる方法もあります。

例えばこちらの画像のようにアマゾンのロゴが入っていて、いかにも正しそうです。

「支払方法の情報を更新する」ボタンを押してしまいそうになりますが、これはトラップです。
迷惑メールの例の画像

セキュリティ技術だけではあなたを守れない

なぜソーシャルエンジニアリングの話をしたのかというと、ハッキングのような特別なことをしているわけではないからです。

現在はそもそもアプリを開発する企業自体がセキュリティ対策を行なっていたりするので、そう簡単に犯罪に巻き込まれることはないですが、ソーシャルエンジニアリングはどうでしょうか?

例えば上で紹介したアマゾンからのメールに反応して、リンクをクリックして、クレジットカード情報を入力してしまったら、誰もあなたを守ることができません。

どれだけIT企業やアプリ開発会社がセキュリティ対策をしていても、あなたがあなた自身の大事な情報を漏らしてしまっては意味がありません。

逆に言えば、僕たち1人1人が気をつけないと、どれだけセキュリティ技術が発達しても意味がないということです。

すべての人が情報セキュリティの知識を持つべき

ITに携わる人たちがどれだけセキュリティのことを考えて対策を行なったとしても、結局最後に僕たちが気をつけないと大切な情報を盗まれてしまいます。

だからこそ、すべての人が情報セキュリティの知識を持つべきです。

自分を犯罪から守るために。

一昔前は、ITに関する犯罪(サイバー犯罪)は身近ではありませんでしたが今は違います。

なぜならスマートフォンなどコンピュータが身近になったからです。

もちろんそのおかげで便利にはなりましたが、少しだけでいいので情報セキュリティについて意識を持ってみてください。

情報を入力するときに「これって大丈夫なのかな?」と疑問を持ってみてください。

個人情報の扱いは難しい問題

ここまで大切な情報(クレジットカード情報やログイン情報)を盗まれる危険性についてお話ししましたが、個人情報については少し違ってきます。

ググったサイト内やSNSの中で、自分が最近興味のあることが広告で表示されるという経験をしたことはありませんか?

あなたの検索履歴などの個人情報からあなたの興味を分析して、その結果を広告に反映することで広告効果を最大化するという仕組みです。

グーグルなどはこのような個人情報を利用してサービスの向上に繋げています。

しかしながら知らない間にグーグルに情報を利用されているという事実に対して嫌悪感を感じる方もいると思います。

個人情報の扱いについては賛否両論があるのが現状です。

最後に

技術が進歩して、ITに詳しくない人でも情報社会に知らぬ間に入っています。

そんな中で何も知らないと、情弱な立場として犯罪に巻き込まれてしまいます。

そうならないためにまずは意識を変えてみてください。

「これって大丈夫なのかな?」と思うようにしてみてください。

まずはそれだけであなたの身を守る第一歩になるはずです。