この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。
今回は”情報セキュリティ”を理解するために、試験範囲の”テクノロジー系 セキュリティ”に位置づけられるテーマについて、現役エンジニアの著者が分かりやすく解説していきます。
今回は、「情報セキュリティにおける人的脅威 ークラッキングとソーシャルエンジニアリングー 」というテーマの記事となっています。
記事の後半では過去にITパスポートに、実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。
目次
人的脅威とは
情報セキュリティには情報資産を守るうえで、人的脅威、技術的脅威、物理的脅威の3つのリスク要因があります。
この3つのうち、人によって引き起こされる脅威の事を「人的脅威」と言います。
人的脅威には、以下の3つがよくある例です。
- 人による情報のご送信やご操作によるデータの削除
- 悪意を持った第三者がコンピュータに不正アクセスするクラッキング
- 人間の心理的な隙を利用して秘密情報を入手するソーシャルエンジニアリング
ここで重要なのは悪意を持った人間による行為だけでなく、悪意の無い人間のミスによってデータの誤送信や削除が発生してしまう、ヒューマンエラーも人的脅威のひとつだと言うことです。
ヒューマンエラーを想定してルールや仕組みを考える事も情報セキュリティではとても重要なことです。
次項から具体的な人的脅威について解説していきます。
クラッキング
クラッキングとは、悪意を持った第三者がネットワークに繋がれたコンピュータに不正に侵入し、利用する事をいいます。
具体的には、侵入した先のデータを盗んだり、データやコンピュータシステム・ソフトウェア等を破壊・改竄する等があります。
Cracking(クラッキング) の動詞形である Crack(クラック)には、「割る」や「ヒビを入れる」等の意味があります。
このように、コンピュータシステムやデータ等を「壊す」という意味合いからクラッキングという言葉が使われるようになりました。
ハッキングとの違いは?
ちなみに、クラッキングと似たような言葉でハッキングという言葉があります。
ハッキングという言葉に悪いイメージを持っている方も多いと思いますが、本来はコンピュータやソフトウェアの仕組みを研究、調査する行為を意味します。
広義にエンジニアリングの事を指している為、明確に破壊することを意味しているクラッキングとは違い、必ずしも悪い意味を含んでいるわけでは無いです。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、特別な技術やツールを使わずに人間の心理的な隙や不注意に付け込んで不正に情報を入手し悪用する事です。
例として、他人がパスワードを入力している時に盗み見をしたり、緊急時を装って機密情報を聞き出したりするなどが挙げられます。
ソーシャルエンジニアリングには様々な手口がありますので、この動画では過去にITパスポート試験に出題された事がある手口をいくつか紹介致します。
電話でパスワードを聞き出す
電話を利用する手口は昔からある代表的な事例です。
何らかの方法でターゲットとなるサービス等のユーザー名を入手したら、その利用者を装って管理者に電話をかけパスワードを聞き出したり変更させたりします。
またその逆で管理者を装って利用者からパスワードを聞き出す事もあります。
冷静な判断をさせない為に、「至急確認をお願いします」や「重要」等の言葉を使うことで緊急時を装う事により、利用者もしくは管理者の心理の隙をついて聞き出したりします。
「この対策として、あらかじめ電話ではパスワードなどの重要な情報を伝えない」というルールを決めて定期的に周知するなど、ルール厳守を徹底するしかありません。
肩越しにキー入力を見る(ショルダーハック)
ショルダーハックとは、他人がパスワード等の重要な情報を入力している最中に後ろから近づいて覗き見する方法をいいます。
“肩”越しに覗き見する様子から、ショルダーバッグと掛け合わせて、ショルダーハックと言います。
スマートフォンを使ってショッピングをする際や、オフィスなどの慣れた場所であってもパスワードや、クレジットカード情報等の重要な情報を入力する際は必ず周りに注意しましょう。
また、スクリーンに覗き見防止フィルムを貼る事も対策のひとつです。
ゴミ箱を漁る(トラッシング)
トラッシングとは、ゴミ箱やゴミ袋に捨てられた資料から、ターゲットとなるシステムやネットワークの情報のログイン情報や設定情報、ネットワーク構成図や、IPアドレス等の重要な情報を探し出す事をいいます。
トラッシングは、外部からネットワークに侵入する際に事前の情報収集として行われる事が多いです。
この対策として、ゴミ箱に重要な情報の記載がある資料を捨てない、捨てる場合は必ずシュレッダーにかけたり、溶解するなど情報が読み取れない状態にして廃棄する事が重要になります。
またトラッシングには、ゴミ箱だけでなく、ポストに入っている郵便物をそのまま持ち去り、郵便物に記載されている請求者の情報を使ってパスワードなどの重要な情報を聞き出す、メールハントという手口もあります。
ポストに必ず鍵をかけたり防犯カメラを設置するなどの対策が重要です。
試験対策まとめ
試験対策用に以下のまとめを作りました。
- メールのご送信や悪意を持った第三者の攻撃などを、情報セキュリティにおける人的脅威という
- クラッキングには明確に悪意があるが、ハッキングは必ずしも悪い意味を含んでいるわけではない
- ソーシャルエンジニアリングとは、特別な技術やツールを使わずに人間の心理的な不注意に付け込み、不正に情報を入手したりすること
今回はこの3点を押さえておきましょう。
ITパスポートの過去問で実践
それでは実際に過去にIパスで出題された、人的脅威に関する問題を解いてみましょう。
平成31年春期
スマートフォンを利用するときに,ソーシャルエンジニアリングに分類されるショルダーハックの防止策として,適切なものはどれか。
- ア OSを常に最新の状態で利用する。
- イ 位置情報機能をオフにする。
- ウ スクリーンにのぞき見防止フィルムを貼る。
- エ 落下,盗難防止用にストラップを付ける。
他人がパソコンやスマートフォンを操作中にパスワードやクレジットカード情報などを覗き見する方法を、肩越しに覗き見る様子からショルダーハックというのを上述しました。
重要な情報を入力する際は周りに注意する事が重要でしたね。
また、スクリーンに覗き見防止フィルムを貼る等の対策も有効です。
したがって「ウ」が正解となります。
平成28年春期
情報セキュリティにおけるソーシャルエンジニアリングの例として,適切なものはどれか。
- ア 社員を装った電話を社外からかけて,社内の機密情報を聞き出す。
- イ 送信元IPアドレスを偽装したパケットを送り,アクセス制限をすり抜ける。
- ウ ネットワーク上のパケットを盗聴し,パスワードなどを不正に入手する。
- エ 利用者が実行すると,不正な動作をするソフトウェアをダウンロードする。
ソーシャルエンジニアリングは特別な技術やツールを使わずに人間の心理的な隙や不注意に付け込んで不正に情報を入手したりする事を言います。
イ、ウ、エの選択肢については、全て技術的な手法の事を指しています。
社員を装って電話をかける事により、心理的な隙や不注意に付け込んで情報を入手しようと企む方法の「ア」が正解となります。
平成27年秋期
情報セキュリティにおけるクラッキングの説明として,適切なものはどれか。
- ア PCなどの機器に対して,外部からの衝撃や圧力,落下,振動などの耐久テストを行う。
- イ 悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。
- ウ システム管理者として,ファイアウォールの設定など,情報機器の設定やメンテナンスを行う。
- エ 組織のセキュリティ対策が有効に働いていることを確認するために監査を行う。
ネットワークに繋がれたコンピュータに不正に侵入し、データを盗んだり、データやコンピュータシステム・ソフトウェア等を破壊・改竄するなどコンピュータを不正利用する事をクラッキングと言います。
Cracking(クラッキング) の動詞形である Crack(クラック)は、「割る」や「ヒビを入れる」等の意味があり、コンピュータシステムやデータを「壊す」という意味合いから、このような行為をクラッキングと呼ぶようになりました。
悪意を持って破壊する行為を指している「イ」が正解となります。
まとめ
世界的には、サイバー攻撃が盛んになっている現状があるため、今後さらに強固な情報セキュリティを用意していく必要があります。
実際こうした情報セキュリティの重要性を喚起するように、近年ITパスポートでの情報セキュリティに関する問題は重要度が増しており、出題数も増えている傾向にあります。
この記事をきっかけに、しっかりと押さえておきましょう。
今回の記事中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもご覧になってください。
今回は以上です。
