「人の脆弱性」をあぶり出す、4つの侵入テスト手法ソーシャルエンジニアリング対策に必須

人の心理を巧みに利用し、機密情報を盗み出したりする「ソーシャルエンジニアリング」。本稿は、その脅威の把握に有効な侵入テスト手法を4つ紹介する。

2012年09月11日 08時00分 公開
[Dave Shackleford,TechTarget]

 ソーシャルエンジニアリングは、今日最もよく使われる攻撃手口の1つだ。メディアで大きく報じられた事例もある。例えば、2011年に発生したRSA(米EMCのセキュリティ事業部門)への不正侵入事件では、標的型フィッシング攻撃に加え、エクスプロイトコードを仕込んだMicrosoft Excelファイルが用いられた(参考:共通点・傾向は? 2011年上期の情報漏えい企業に起きたこと)。

 企業が現実に直面している脅威を正しく把握するには、ソーシャルエンジニアリングを利用した侵入テストが可能な侵入テストツールキットを利用することが肝要だ。

 ソーシャルエンジニアリングは、人の心理を利用した攻撃である。ソーシャルエンジニアリングによって人が無防備になり、攻撃者の思うがままに行動する誘因や動機付けには、幾つかのタイプが存在する。ロバート・チャルディーニ博士は、その古典的著書『Influence: The Psychology of Persuasion(邦題:影響力の武器)』(1984年刊)の中で、主要な動機付け要因として以下の6つを挙げる。

  • 恩義:親切にされることで相手に恩義を感じる
  • 社会的影響:他人の行動を見て自分がどうすべきかを判断する
  • 習慣化/一貫性:行動パターンを確立して習慣化する
  • 好み:相手に合わせようとする意識。好きな人には説得されやすい
  • 権威:権威を持った人物の要求には不本意であっても従う
  • 希少性:希少価値あるいは特別な価値があるものに強く引き付けられる

 これらの動機付け要因は、侵入テストの実行者(テスター)がソーシャルエンジニアリングを評価する際の参考になる。

 企業のセキュリティを検証するために利用できるソーシャルエンジニアリング手法としては、「フィッシング」「プリテキスティング」「メディアドロッピング」「テールゲーティング」の4つがある。

ソーシャルエンジニアリングによる侵入テスト:フィッシング

Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

製品資料 東京エレクトロン デバイス株式会社

セキュリティ最適化の鍵が「エンドポイント」と「認証情報」の保護である理由

サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。

製品資料 LRM株式会社

セキュリティ教育の“目標設定/運用/教育頻度”の課題を一掃する方法とは?

昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。

製品資料 LRM株式会社

マンネリ化しやすく効果測定も難しいセキュリティ教育、どうすれば改善できる?

情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。

アイティメディアからのお知らせ

鬩幢ス「隴主�蜃ス�ス雜」�ス�ヲ鬩幢ス「隰ィ魑エツ€鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「�ス�ァ�ス�ス�ス�ウ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「隴趣ス「�ス�ソ�ス�ス�ス雜」�ス�ヲ鬩幢ス「隴趣ス「�ス�ソ�ス�スPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

驛「�ァ�ス�「驛「�ァ�ス�ッ驛「�ァ�ス�サ驛「�ァ�ス�ケ驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー

2025/07/14 UPDATE

  1. 驛「譏懶スク鄙ォホ暮Δ�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー髯樊サゑスス�ァ髣費スィ陞「�ケ邵イ豁皿ware驍オ�コ�ス�ョ鬮「�シ�ス�ス�ス�シ�ス�ア髫イ�、�ス�ァ驍オ�コ驕停扱ム�匚�サ陋ケ�サ�つ€�つ€ESXi驍オ�コ�ス�ァ驍オ�コ�ス�ッ驕ッ�カ隲幢スキ�ス�ス驍オ�コ�ス�ョ髣憺屮�ス�オ髯橸スウ�ス�ウ髯懶ス」�ス�ア髯キ�サ陝ッ�ゥ�つ€隴擾スエ�ス�ス
  2. 驛「�ァ�ス�サ驛「�ァ�ス�ュ驛「譎「�ス�・驛「譎「�ス�ェ驛「譎「�ソ�ス邵コ�ス�ケ譎「�ソ�ス�ス�ス驛「譎「�ス�ォ驕ッ�カ隲帑シ夲スス�ケ�ス�ア鬩包スカ鬩ォツ€�つ€隴擾スエ遯カ�イ鬨セ蠅難スコ蛛�スス骰具スク�コ�ス�ス鬯ィ�セ�ス�ス�ス�ェ�ス�ャ驍オ�イ陟包ス。�ス�ス�ス�ソ驍オ�コ陋ケ�サ�ス�ス髣厄スエ�ス�ソ驍オ�コ�ス�ス遶難ソス�ク�コ�ス�ゥ鬮「�シ�ス�ス�ス�シ�ス�ア驍オ�コ�ス�ス驍オ�コ�ス�」驍オ�コ雋�シ可€�ス�ス
  3. 驕ッ�カ隲帛イゥ�ス驛「�ァ陟募ィッツ€�イ髯キ螂�スス�ア鬯ョ�ッ�ス�コ驍オ�コ鬩ォツ€�つ€隴擾スエ邵イ蝣、�ク�コ�ス�ッ驍オ�コ�ス�ェ驍オ�コ闕ウ迺ーツ€鬩幢ス。aaS驍オ�コ隴擾スエ�ス�ス驛「�ァ郢ァ�ス�ソ�ス驍オ�コ霑ケ螟イ�ソ�ス髯キ�サ�ス�ス鬨セ�ァ�ス�ス�つ€鬮ヲ�ェ�つ€�つ€鬯ゥ�・鬯俶「ァ�ェ�ョCISO驍オ�コ霑ケ螟イ�ス�。隴趣ソス蟷サ驍オ�コ�ス�ョ髣包スウ�つ€髯橸ス「�ス�ー
  4. 驛「�ァ�ス�「驛「譎丞ケイ�取㏍�ク�コ�ス�ィAPI驍オ�コ�ス�ョ髣厄スォ隴趣ソス�ス�ュ�ス�キ驍オ�コ陟募€仰€闖ォ�スAF驍オ�コ�ス�ス驍オ�コ闔会ス」�つ€鬮ヲ�ェ邵イ蝣、�ク�コ�ス�ッ髯キ螂�スス�ア鬯ョ�ッ�ス�コ驍オ�コ�ス�ェ鬨セ�ス�ソ�ス驗ゑスー驍オ�コ�ス�ィ驕ッ�カ隲幄肩�ス�ュ�ス�」驍オ�コ陷会スア�ス讓抵スェ�カ隴取ィ費スコ貅ッ�ス蛹�スス�。鬩包スイ�ス�ス
  5. VPN驛「�ァ陷サ閧イ邊滄し�コ陷キ譎俄�驍オ�コ�ス�ォ鬩墓得�ス�・驍オ�コ�ス�」驍オ�コ�ス�ヲ驍オ�コ驗呻スォ遯カ�ウ驍オ�コ雋�∞�シ讓」�ゥ蛹�スス�ク髯橸スウ陞「�ス陷�スセ驍オ�コ�ス�ョ驛「譎�コ「邵コ�ス�ケ譎「�ス�ウ驛「譎「�ソ�ス7鬯ゥ蛹�スス�ク
  6. 驍オ�イ闖ォ�ェndows Hello驍オ�イ鬮ヲ�ェ遶企豪�ケ�ァ陋ケ�サ�ス迢暦スェ�カ隲幢ソス遲城Δ譏懶スサ�」邵コ蟶キ�ケ譎「�ス�ッ驛「譎「�ス�シ驛「譏懶スソ�スツ€隴擾スエ�ス�ス驛「�ァ郢ァ�ス魘ャ髯晢スカ�ス�ク鬮ォ�エ陋幢ソス�ス�シ雋�シ可€�つ€驍オ�コ隴擾スエ�ス�ス鬮ォ�ア陝�雜」�ス�ィ�ス�シ髫カ蛹�スコ�ッ�ス�ス驍オ�コ�ス�ィ驍オ�コ�ス�ッ
  7. 驍オ�イ霑ケ螟イ�ス�コ�ス�ォ髣比シ夲スス�」鬯ゥ�・闔会ス」�ス螳夲スャ�セ�ス�ッ髫ー�ス�シ謚ォ魘ャ驍オ�イ陜」�コ�ス�サ�ス�・髯樊サ薙§�ス�ス驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「髯晢ソス�ス�セ鬩包スイ隰費スカ�ス�ス髫エ蟷「�ス�ャ髯溷�萓ュ遶企豪�ク�コ郢ァ�ス�ス迢暦スク�コ�ス�ョ驍オ�コ陷茨スキ�ス�シ�ス�ス
  8. 驍オ�イ陟募セ湖、驛「�ァ�ス�ケ驛「譎「�ス�ッ驛「譎「�ス�シ驛「譎擾スウ�ィ�ス�ス�ケ�ァ遶丞」コ遨宣し�コ陷キ�カ�つ€鬮ヲ�ェ�つ€�つ€鬮」謳セ�ス�ア髯懈圜�ス�ス髫ー�セ�ス�ソ髯溷叙繹ア遯カ�イ驕ッ�カ隲帷ソォホ、驛「�ァ�ス�ケ驛「�ァ�ス�ュ驛「譎「�ス�シ驕ッ�カ隴擾スエ�ス螳壽割�ス�ソ驍オ�コ�ス�ス�ス�ス驍オ�コ�ス�ッ驍オ�コ�ス�ェ驍オ�コ隲幢スカ�ス�シ�ス�ス
  9. 驛「譏懶スサ�」邵コ蟶キ�ケ譎「�ス�ッ驛「譎「�ス�シ驛「譎擾スウ�ィ遶雁ョ夊€ウ�ス�シ驍オ�コ�ス�ヲ驍オ�コ�ス�ス�ス迢暦スク�コ闔会ス」遶雁頃讌懆ソ壼遜�ソ�ス髫イ�、�ス�ァ驍オ�コ隰疲サゑスス�、�ス�ァ鬯ゥ謌奇スシ雋サ�シ讖ク�ソ�ス雋�シ可€�つ€驍オ�イ陟募セ湖、驛「�ァ�ス�ケ驛「�ァ�ス�ュ驛「譎「�ス�シ驍オ�イ鬮ヲ�ェ�つ€陟募セ湖、驛「�ァ�ス�ケ驛「譎�スシ驥�ィ抵スケ譎「�ス�シ驛「�ァ�ス�コ驍オ�イ鬮ヲ�ェ遶雁�、�ク�コ�ス�ッ
  10. 驛「譏懶スサ�」邵コ蟶キ�ケ譎「�ス�ッ驛「譎「�ス�シ驛「譎�ソス�ス�ク陝�雜」�ス�ヲ遶丞、イ�ソ�ス驍オ�イ陟募セ湖、驛「�ァ�ス�ケ驛「�ァ�ス�ュ驛「譎「�ス�シ驍オ�イ鬮ヲ�ェ�ス�ス驛「譎「�ス�。驛「譎「�ス�ェ驛「譎「�ソ�ス郢晢スィ驍オ�コ�ス�ィ驕ッ�カ隲幢ソス�ス�ヲ驕擾スゥ驍�ソス�ク�コ隴∫オカ髮キ驍オ�コ�ス�ェ驍オ�コ�ス�ス�ス�ウ�ス�ィ髫イ�「陷€蜉ア笳矩��カ隴擾スエ�ス蟶晏專�ス�」鬮ォ�ア�ス�ャ

「人の脆弱性」をあぶり出す、4つの侵入テスト手法:ソーシャルエンジニアリング対策に必須 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�ゥ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ュ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ー

2025/07/14 UPDATE

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...