ソーシャルエンジニアリング対策に必須「人の脆弱性」をあぶり出す、4つの侵入テスト手法

人の心理を巧みに利用し、機密情報を盗み出したりする「ソーシャルエンジニアリング」。本稿は、その脅威の把握に有効な侵入テスト手法を4つ紹介する。

[Dave Shackleford，TechTarget]

　ソーシャルエンジニアリングは、今日最もよく使われる攻撃手口の1つだ。メディアで大きく報じられた事例もある。例えば、2011年に発生したRSA（米EMCのセキュリティ事業部門）への不正侵入事件では、標的型フィッシング攻撃に加え、エクスプロイトコードを仕込んだMicrosoft Excelファイルが用いられた（参考：共通点・傾向は？　2011年上期の情報漏えい企業に起きたこと）。

関連記事

• 対ソーシャルエンジニアリング攻撃機能、IE 9が競合ブラウザに圧勝
• ソーシャルエンジニアリングテストは慎重に

　企業が現実に直面している脅威を正しく把握するには、ソーシャルエンジニアリングを利用した侵入テストが可能な侵入テストツールキットを利用することが肝要だ。

関連記事

• 無料で使える、Windows向けパスワード解析／脆弱性スキャンツール9選
• 無料で使える、無線LANやSQL Serverなど向け脆弱性対策ツール11選

　ソーシャルエンジニアリングは、人の心理を利用した攻撃である。ソーシャルエンジニアリングによって人が無防備になり、攻撃者の思うがままに行動する誘因や動機付けには、幾つかのタイプが存在する。ロバート・チャルディーニ博士は、その古典的著書『Influence: The Psychology of Persuasion（邦題：影響力の武器）』（1984年刊）の中で、主要な動機付け要因として以下の6つを挙げる。

• 恩義：親切にされることで相手に恩義を感じる
• 社会的影響：他人の行動を見て自分がどうすべきかを判断する
• 習慣化／一貫性：行動パターンを確立して習慣化する
• 好み：相手に合わせようとする意識。好きな人には説得されやすい
• 権威：権威を持った人物の要求には不本意であっても従う
• 希少性：希少価値あるいは特別な価値があるものに強く引き付けられる

　これらの動機付け要因は、侵入テストの実行者（テスター）がソーシャルエンジニアリングを評価する際の参考になる。

　企業のセキュリティを検証するために利用できるソーシャルエンジニアリング手法としては、「フィッシング」「プリテキスティング」「メディアドロッピング」「テールゲーティング」の4つがある。

ソーシャルエンジニアリングによる侵入テスト：フィッシング