いつもの如く、秋山くんは会社の入退室カードを使って事務所のドアを開けたとき、後ろから来た知らない人が、会釈をしながら一緒に入室しました。秋山くんは少し「変かな?」とは思いましたが、相手があまりにも自然なふるまいだったので、そのまま通してしまいました。これは、物理的な情報セキュリティの攻撃になりえます。
このような、正規の社員の後ろにぴったりついて、無断でセキュリティ区域に侵入する手法は何と呼ばれているでしょう?
| ア | フィッシング |
| イ | ショルダーハッキング |
| ウ | ピギーバック |
そういうハッキング行為の総称をソーシャルエンジニアリングと呼びます。ハッキングというと、コンピューターウィルスのような、システムの技術的な弱点を攻撃する意味合いで使うことが多いのですが、ソーシャルエンジニアは人の心理的な弱点を狙ってセキュリティを破る手法です。
世の中、ITスキルは低くても、ソーシャルハッキングに長けた人はかなり多いと思います。
たとえば、朝の通勤ラッシュ。満員電車のなかで、Slackなどのビジネスチャットツールを使って、業務の連絡をする人がいると思います。実はそのやり取りを背後からのぞき見する人がいて、個人情報や会社の機密情報を盗むかもしれません。「壁に耳あり障子に目あり」といいますが、これは、ショルダーハッキングと呼ばれる情報搾取です。
問題文で書かれた秋山くんは、「変かな?」と思いつつも、赤の他人を事務所に招いてしまいました。これは、ピギーバックと呼ばれるソーシャルエンジニアリングの手法に当てはまります。テールゲーティングとも呼ばれます。
本来であれば、秋山くんは、その人に確認するべきなのですが、それをしなかったことに心の弱点があるのでしょう。
事務所のなかにいる周りの社員が何も言わなければ、「自分だけが変だと思ってるのかも?」と思ってしまいそうです。「確認して、間違ってたら恥ずかしいな…」と感じるかもしれません。
情報セキュリティの意識が低いと、起きている事象に対して傍観者的な立場をとりがちです。「誰か他の人が、変だと感じて確認してくれるだろう」と思ったり、あえて自分が関わることで、妙なトラブルに巻き込まれたくないと感じるかもしれません。
「念のため確認してもいいですか?」
こんなふうに、軽く言うだけでも抑止効果があります。
