セキュリティ用語集

ソーシャルエンジニアリング

用語の別名	Social-Engineering、Social-Hacking、ソーシャルハッキング
ジャンル	[攻撃][搾取][布石]
内容	Hackerやスパイがターゲットの組織などを調査するときに、スキャンの一環として組織への侵入やゴミ漁りなどを試みて内部情報を得ようとする方法を指します。通常は組織のメンバーや顧客、関係者に扮して侵入することが多いですが、最近はインターネットだけでも充分な情報が得られる場合もあります。最も古典的なソーシャルエンジニアリングの手法として、パスワードを打ち込んでいる人の手元を後ろから覗き込んで入力文字列を推測する「ショルダーハッキング」が有名です。最近は印刷物や持ち出し可能メディアに対する扱いに気を配る組織も増えてきましたが、ほとんどは外部との接触に関わる決めごとであり、組織内での扱いについては利便性を重視する傾向にあります。従って、インターネットからツールを使って総当たり攻撃を試みるよりも、アルバイトや清掃員になりすまして情報を得るほうが簡単なケースも考えられるので、古典的ながらも有効な手段として現在でも行われています。