パスワードが勝手に使われてた…!?
それ、もしかして「人的脅威」かも!?
今回は、人のミスやだましのテクで起こる脅威についてわかりやすく紹介していくね!
人的脅威とは?
セキュリティって聞くと、つい「ハッカー」とか「ウイルス」みたいなイメージがあるよね?
でも実は…
人間そのものがセキュリティの弱点になっちゃうこともあるんだよっ!
たとえば…
こういった「人的脅威(human threat)」が、
じわじわっと企業の情報を危険にさらすんだって… 怖い〜っ
人的脅威の例を見てみよっ!
| タイプ | どんなこと? | 例 |
|---|---|---|
| 情報漏えい | 意図せず情報が外部に出ちゃうこと | 誤って社外にメール送信 資料の置き忘れ |
| 紛失・盗難 | デバイスなどを失くしちゃうケース | USBメモリの置き忘れ ノートPCの盗難 |
| なりすまし | 本人のふりをして不正アクセス | ログインIDを盗まれて勝手にログイン |
| ソーシャルエンジニアリング | “人の心理”を突いてだます手口 | 電話でパスワードを聞き出す ゴミ箱から情報を探す |
| BEC(ビジネスメール詐欺) | 上司や取引先になりすました詐欺メール | 社長を装って送金させるメールを社員に送る |
| 内部不正 | 社員など社内の人が関与する不正 | データの持ち出し 権限の悪用など |
ソーシャルエンジニアリング・BECの手口
この2つはどちらも、「人をだます技術」が使われるのが特徴だよ。
どこで引っかかってしまうのか理解しておこ!
ソーシャルエンジニアリングの流れ
たとえば、ソーシャルエンジニアリングでは――
というように、人の油断や善意につけ込んで情報を盗むんだって…!
その流れは下の図のとおりっ
BEC(ビジネスメール詐欺)の例
いっぽうで、BEC(Business Email Compromise)は――
という流れがよくあるよ。
※BECはメール上のやりとりが中心なので、今回は図解は省略してるけど、
「なりすましメール+焦らせる件名+送金指示」というパターンをしっかり覚えておこ!
メリットとデメリット
| 項目 | メリット | デメリット |
|---|---|---|
| 情報を人が扱う | 柔軟な対応ができる | 人的ミス・詐欺に引っかかる可能性あり |
| 電話・対面対応 | 相手の温度感がわかる | なりすましにだまされやすい |
| BEC・内部不正など | 急ぎの案件に見せかけると成功率が高い | 対策しないと巨額損失もありえる! |
セキュリティも恋も、ちゃんと見極めが大事なんだねっ!
わたしも“信じられる人”を見つけたいなぁ~💕
BECに関するITパスポート試験の過去問!
BEC(Business Email Compromise:ビジネスメール詐欺)に該当するものはどれか。
ア:取引先になりすまして偽の電子メールを送り、金銭をだまし取る巧妙な手口
イ:送信元を詐称して大量にメールを送信し、ブラックリスト登録をさせる
ウ:第三者のメールサーバを中継に悪用する
エ:誹謗中傷メールを送ることで社会的信用を損なわせる
正解は『ア』
BECは「上司や取引先などになりすまして企業をターゲットに金銭詐取する詐欺行為」だよ。
他の選択肢の違いは?
| 選択肢 | 内容 | 違い |
|---|---|---|
| イ | 大量の詐称メールでブラックリストに入れさせる → スパムメール攻撃の一種 | BECではない |
| ウ | メールサーバを中継に悪用 → リレー攻撃・オープンリレー問題 | BECとは無関係 |
| エ | 誹謗中傷で信用失墜 → 名誉毀損・風評攻撃の話 | 金銭詐取ではない |
ITパスポート試験をスマホで手軽に勉強!
「えろ勉」も戦略的に開発&運営してるよ~!この記事が勉強になったり、ためになったよ〜って思ったら、なにかアクションをお願い!!「えろの力で勉強するゲーム:えろ勉」
“好き”と“セキュリティの穴”には、慎重にならなきゃ…ねっ🥹❣️
