ソーシャルエンジニアリングとは？

詳細解説

ソーシャルエンジニアリングとは、コンピュータやネットワークへの技術的な侵入を行わず、人間の心理的な脆弱性（信頼・恐怖・権威への服従・親切心など）を悪用して、パスワードや機密情報を入手したり不正な操作を実行させたりする攻撃手法の総称です。代表的な手法として、「フィッシング」（偽メール・偽サイトで情報を詐取）、「ビッシング」（電話による詐欺）、「スミッシング」（SMSによる詐欺）、「なりすまし」（IT管理者や上司のふりをして情報を聞き出す）、「テールゲーティング」（後ろについて入退室管理を突破）などがあります。対策として、情報セキュリティ教育・啓発（ヒューマンファイアウォール）が最も有効で、不審な要求には必ず身元を複数の手段で確認する手順の徹底が重要です。IT試験では「技術的対策では防げない点」「各手法の定義」「教育・啓発が主な対策」が頻出です。

ITパスポートでの出題ポイント

• 1技術的なシステム攻撃ではなく人間の心理を悪用する点
• 2フィッシング・ビッシング・スミッシング・なりすましの各手法
• 3最大の対策は従業員教育（ヒューマンファイアウォール）
• 4テールゲーティングなど物理的な侵入手法も含む

関連用語