不定期配信　マウスちゃんとメモリ主任のＩＴ１年生④

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　シーさんに頼まれた資料が完成したマウスちゃん。渡しにいったところで、キーボードの端にボールペンで書かれた文字列に気がつきます。
「シーさん、それ、何ですか？」
「これ？コンピューターのログインパスワード。」
「え・・・」
「いや、規程で禁止されてるのは知ってるよ。パスワードは目につくところに書いたりしてはいけません、だよね。でも総務の設定してくれたパスワードって長いし覚えにくいし忘れそうで。」
「危なくないですか？」
「大丈夫だよ、社内なんだし。」
　マウスちゃんは心配性だなー、と笑うシーさんに曖昧に笑い返しながらも、マウスちゃん、心のモヤモヤが消えません。

「ソーシャルエンジニアリング、という言葉を知っていますか？」
　モヤモヤがどうしても晴れず、恐る恐る相談に行ったマウスちゃんに、メモリ主任はそんな言葉を教えてくれました。
「ソーシャルエンジニアリング、ですか？」
「ええ。情報セキュリティというとウイルスや不正アクセスなど技術的な攻撃が注目されがちですが、技術による攻撃ではなく、人間のミスや心理的な隙をついて情報を不正に入手する攻撃のことを『ソーシャルエンジニアリング』と言います。例えば、

・取引先や上司等を装って秘密情報を聞き出す。
・問題があったように装ってＩＤやパスワードを聞き出す。
・コンピューター等を操作しているところを後ろから覗き見てパスワード等を盗む。
・ごみ箱をあさって廃棄された秘密情報などを入手する。

といった事例が報告されています。それぞれの事例にもショルダーハッキングやスキャベンジング、トラッシングといった呼び名が付いていますね。ＩＤやパスワードを書いた付箋や手帳を盗み見る、というのも、ソーシャルエンジニアリングに分類される典型的な攻撃のひとつです。さすがに、キーボードにパスワードなどを直接書いている、という例はあまり聞きませんが。」
「ウイルスだけでも大変なのに、それ以外にもいろいろな攻撃があるのですね。」
「ウォードライビング、という、ソーシャルエンジニアリングに技術を掛け合わせたような攻撃もありますよ。脆弱性のある無線ＬＡＮのアクセスポイントを、建物の外から、自動車などで移動しながら探す、というものです。」
「スパイ映画みたいですね・・・」

「いくら技術的な対策を施しても、社会的・心理的な隙を突かれて自分から情報を渡してしまうような攻撃には対処できません。ですから、」
「正しい危機意識が必要、ということですね。」
「その通りです。その、正しい危機意識を持って頂くためにも、パスワードの管理を厳格にするよう、規程を定めているのですが。」
　社内とはいえ社外の人が絶対に入れないというわけではないですし、営業部外秘の情報だってあるでしょうに。呟くメモリ主任に申し訳なくなって、マウスちゃん、頭を下げます。
「なんだか営業部がすみません・・・」
「いえ。マウスさんが悪いわけではないですし。ですが、シーさんには、パスワードの管理を怠るとどんな怖いことが起こるか、体感して頂いた方が良いかもしれませんね。」
「あの・・・何をなさるおつもりですか？」
「・・・」
　無言でにっこり微笑んだメモリ主任に、急に肌寒さを覚え腕をさするマウスちゃんなのでした。