ゴミ箱からお宝のカケラを探し出す……
ソーシャルエンジニアリング対策は?
X(Twitter)アカウント「マカフィー・セキュリティ情報局」の2024年11月分のアンケート投稿から、今回は「リアルで暗躍する人々にまつわるセキュリティクイズ」をピックアップしてみました。
【今月のクイズ】
⚠あなたの“隙”や“ミス”が狙われています
ソーシャルエンジニアリングとは
重要な情報を情報通信技術を使用せずに盗み出す方法🔐
📝パスワードが記載された付箋
👀捨てられた書類
などから盗み出されるかも…🦹
Q. ソーシャルエンジニアリングの対策として“不適切”なものはどれ❓
1. 業務用パソコンの画面を離席時にロックする……15.6%
2. 社名を名乗る☎には笑顔で本人確認せず情報を伝える……62.5%
3. 機密情報を取り扱う際に周囲を確認する……12.5%
4. 強力なパスワードを設定し、使い回しを避ける……9.4%
今後もアンケートやクイズを見掛けたら、お気軽にご回答ください!
セキュリティクイズへのご参加ありがとうございました! 今回は計32票のご回答をいただきました。今後もクイズ形式のアンケートを定期的に発表いたしますので、もし見掛けた際はぜひご参加くださいませ。
仕事始めの1月ということもあり、リアルから攻めてくるタイプのサイバー攻撃に関するクイズをご用意しました。
密かに標的の会社に潜り込んで、ディスプレーに貼りつけてあるパスワードを見つけ出したり、オフィスのごみ箱から企業秘密の断片を探し出したりする行為をソーシャルエンジニアリングと呼びます。特定個人に偶然を装って接近して、個人情報を入手するような行為も同様です。
おすすめの関連記事
たまによく聞く「社会保障番号」ってなに? マイナンバーとの違いは……
画面の外にも注意を向けましょう
今回も答え合わせから行きましょう! 正解は2の“社名を名乗る☎には笑顔で本人確認せず情報を伝える”で、正答率は62.5%でした。ほかの選択肢を見る限り簡単だったと思うのですが、もしかすると問題文をよく読まず、“適切”なものを選択してしまった人が案外多かったのかもしれませんね。
社名どころか、たとえ社長名を名乗ろうが本人確認をせずに情報を伝えてしまうのはNGです。一番危ないのは得意先から“お願い”されたので、「今回だけですよ」などと言って漏らしてしまうパターン。
あなたは「いつも良くしてもらっているから……」などと気を許しているかもしれませんが、そのお得意先自体が情報を盗み出すためのダミー会社だったりすることもあり得るのです。
そのほかの選択肢、“業務用パソコンの画面を離席時にロックする”“機密情報を取り扱う際に周囲を確認する”“強力なパスワードを設定し、使い回しを避ける”はどれも適切な行動です。
肩越しに他人のパスワード入力を盗み見する行為は「ショルダーハック」と呼ばれ、ソーシャルエンジニアリングのポピュラーな手口ですから、周囲を確認したり、ロックを掛けたりするのはセキュリティ対策として重要なのです。
◆
今後もマカフィー・セキュリティ情報局発のアンケートやクイズを見かけましたら、ぜひともご回答くださいませ!
週刊アスキーの最新情報を購読しよう
