ある日の午後、会社に何やら怪しげな電話がかかってきました。

すみませんが、担当部署に確認してから回答させていただいてもよろしいですか？
ん？　もしもし？　切れちゃった…。

大麦さん、どこからの電話ですか？

うちの会社のシステム管理をしてるっていう会社から、パスワードを教えてくれっていう電話だったんですけど。

パスワードを？

ええ。担当部署に確認してからでないとって言ったら切れちゃいました。

なんか変な電話ですね。

それはたぶん、ソーシャルエンジニアリングね。

ソーシャルエンジニアリングってなんですか？

パスワードなどの重要な情報を、ネットワークなどの情報通信技術を利用せずに、物理的手段で盗み出すことよ。

物理的手段？

今みたいに、電話でパスワードを聞き出すなどね。システム管理者になりすまして業務に必要だと言って聞き出すなど、心理的な隙をつくものが多いのよ。

さっきの電話、「システム改修に必要だからパスワードを教えてほしい」って言う話だったので、思わず伝えそうになっちゃいました。

相手は、こちらの心理を利用して巧妙に聞き出そうとしてくるから、「電話やメールで安易に重要な情報は伝えない」「必ず本人確認をする」などのルールをあらかじめ決めておくといいわね。

そうですね。

それから、「肩ごしに入力中のパスワードをのぞき見る」なんて手口もあるから、重要な情報を入力する際は、のぞき見されていないか注意したほうがいいわよ。

肩ごしに？　怖いですね。

「ゴミ箱をあさって情報を盗み出す」という手口もあるから、廃棄する際は、シュレッダーをかける、溶解するなど、情報を読み取られない方法で処理したほうがいいわね。

とりあえず社内のゴミ箱に捨てれば安心ですよね！

いいえ。関係者になりすまして社内に入り込んで、ゴミを持ち出したりするケースもあるから、油断は禁物よ。

情報はいつもねらわれてるってことですね。

そうよ。最近は、業務上のメールを装ったり、アンケートを装って手紙で回答をさせるなど、さらに巧妙な手口が増えているから、注意が必要よ。

怖いなあ。いろいろ気をつけるのも大変だし、これからは、社外からの電話やメールの応対は大麦さんにお任せしようかな。

それはちょっと違う気が…。

こらこら。どうやら、足尾さんには、ソーシャルエンジニアリング対策の集中研修が必要みたいね。みっちり仕込むから、覚悟しておいてね！

ええ～？！

◆ソーシャルエンジニアリングは情報通信技術を利用せずに物理的手段で情報を盗み出すことをいい、なりすましなど、心理的な隙や行動のミスをついて行われるものが多い
◆代表的な手口は、「電話でパスワードを聞き出す」「肩越しにキー入力を見る（ショルダハッキング）」「ごみ箱をあさる（トラッシング）」である
◆ソーシャルエンジニアリングの手口を理解し、対策を講じておくことが、情報の漏えいを防ぐために有効である