ソーシャルエンジニアリングとは
どうもハリーです。どうもやまんです。ゴロゴロ起業ラジオは、教育会社を経営しているハリーとデザイン会社を経営するやまんをお届けするキーワードスタートアップに関する話を緩く紹介する番組です。
はい。ショルダーハッキングって知ってますか? ショルダーハッキング? 肩が盗まれる。
俺の肩を盗みやがった。 俺の肩がハックされるみたいな。 違いますね。どういう状況?
ハッキングの一種ですね。 ショルダーって肩じゃないですか。肩ハッキングなんですよ。
つまり肩越しに相手が打っているパスワードを覗き見して、相手のパスワードを入手するっていう方法ですね。
怖いね。 怖いです。 そんなハックの仕方があるの?
名前ついてるぐらいに。 後ろの奴には気をつけろっていうことですね。
他に似たような例だと、パソコンに貼ってあるパスワードが書かれた付箋を見てパスワードを覚えるとか。
でも一番それが危ないって言うよね。 危ないですけど意味ないですからね。
パソコンにパスワードを付箋で貼ってる人。 店で見たことありますよ。
美容院で髪切ってもらって、会見の時にちょっと1分ぐらい待ってくださいって言われて、ぼーっと見てたら
レジの横にパソコン置いてあって、そのパソコンに付箋でオットペッパーIDパスワードとか書いてあるんですよ。
大丈夫かここをと思って。 危険ですよ皆さん。そこのあなた。
一言ではないということでですね。 ハッキングなんですけれども、ハッキングって結構イメージ的には
ハッカーと呼ばれる人たちが黒い画面ガチャガチャして、侵入成功だみたいなやつってやるやつじゃないですか。
でも意外と人の脆弱性をつかれるハッキングというのが街に溢れ返っています。
めっちゃ来るもんだって。メールとか。 迷惑メールもそうですね。その一種ですね。
でまぁこれらを総称してソーシャルエンジニアリングと呼ばれるんですよ。 ソーシャルエンジニアリング。
これはハッキングを直接行って個人情報とか盗むのではなく、人間の心理的な隙や行動のミスをついてパスワードや個人情報など機密情報を盗み出す手法というふうに言われております。
だからセキュリティを脆弱にしているのはシステムではなく人であるということなんですよ。
あるあるでも本当に。SNS乗っ取られてなんか変なDM来たりしますもんね。知り合いから。知り合いだと思ってたけど知り合いじゃなかったみたいなね。
人間の隙を突く手口
はいはいありますね。だから例えば小山さんの会社に重要な情報がありますと。小山さんはそれを何としても守りたいんで、もう会社の社員以外は絶対に誰もオフィスに入れないぞと強く誓いました。
オフィスの入り口に指紋認証、性紋認証、顔認証、網膜認証などつけた完璧なセキュリティシステムを作りました。
それらは完全にワークしているので誰も物理的に不正に侵入することはできません。
安心。もうそんだけ安心や。
枕を高くして寝れるわいと思うんですけど。でも入ろうと思えばもっと別のルートから入ってくるんですよ。
例えば。
俺の人間的なミスを利用して。
ああそうですね。
なんか思いつきます。
まあなんか知り合いのフリして情報を聞き出すとか。
うん。
まあなんか最近その迷惑メールも結構巧妙なんですよね。
はい。
そういう迷惑メール的なものでポチッとクリックさせるとか。
はいはいありますよね。
そういうのじゃないですか。
まあもちろんそれもありますね。
とか他で言うと火災放置機の点検ですって来たら。
ああ。
はいはいどうぞって確認せずに入れるじゃないですか。
昔勤めてたその消費者マン時代の営業所に消火器を点検かチェックですみたいなところで受付のパートのおばちゃんがなんかサインしたんですよね。
はい。
そのサインをもとでに20万ぐらい取られたよね。
ほう。
なんかねそれよくある詐欺らしくって、消火器を交換かなんかでうまいことやって結局営業所と裁判になったんだけどサインしちゃってるからみたいなんでお金取られたっていうケースがありましたね。
ああ怖いですね。
いやそんな感じですね。
とかなんだろうね普通にウーバーイーツですとかでもいいんですけれども。
うんうんうん。
そんな感じでどんだけセキュリティガチガチのドアがあっても中の人がはいはいって開けたらもうダメなんですよ。
はいはいはいはいはいそういうことですね。
そういうことなんですよ。
いやでもウーバーイーツですとか大和ですとか佐川ですとかって言われたらもう絶対開けちゃうもんね。
開けちゃいますよね。
なんか頼んだっけとかって思いながらもね。
うんその辺の隙を突いてくるともうどんだけ完璧なセキュリティがあってもホイホイ通過できてしまうんですよ。
うんうんうん。
オートロックのマンション入るなんて簡単やんな適当に番号を押してさ佐川ですって言って順番に回っていきますんで後ほどとかって言いながらさ。
はいそうですよね。
簡単に入れるよね。
うんとか前の人についていくとかもね簡単にできますしね。
まあそれは俺鍵忘れた時よくやるけどね。
やりますね僕も鍵忘れてゴミ出しに行って入れないよ。
入れないってね。
いや確かに。
情報漏洩と不正利用の事例
だからまあこれに気をつけましょうっていう話なんですけどなんか何週間か前にとあるIT企業がこれ系の詐欺だと思うんですけど詐欺というか。
で不正に11億円振り込んでしまい大変なことになっているみたいな。
あーいやお金振り込み系怖いっすよね。
怖いですね。
ハリさん知ってると思うけど去年ぐらいかな楽天カードで俺190万ぐらい使われてたよね。
なんかチラッと聞いたような何でしたっけ。
会社のカードが勝手にアメリカアマゾンの広告品に使われてたっていうケースがあって俺も気づかなかったんだけど総額で200万近く不正に使われてましたね。
怖いっすね。
いやーどこでって思うよね。しかも更新のタイミングだったんですよ。
で新しいカードが届いてたタイミングに使われてたんでどっかで漏れたんだろうなって思うけどね。
怖いなと思った本当に。
怖いですよ。
なりすましと証明の難しさ
そうだからこれってでももう割と防ぎようないなっていう気もしているんですよ。
いろいろ見たんですけどなんでまあ完璧に防ぐのはかなりハードなんですけどもこういうことがあるよという啓蒙をねして。
いやしてほしいもうなんかメールとかもねもう来るメール全部俺詐欺だと思ってるから基本。
いやでもそれはそうですよねこれまあ後で言おうかなと思ったんですけどこのソーシャルエンジニアリングまあほぼ詐欺なんですけど。
詐欺の手法って自分は別の人間であるという証明を相手にできればもうかなりそこで一番の壁は突破したみたいな状況になるんですよ。
自分例えばじゃあハリマという人間がいますがこれを別の小山という人間であるというのを例えば第三者に信じ込ませることができたらもう僕は小山さんとして言いたい放題できるわけじゃないですか。
あーはいはいはい。
っていう状況をまず作り出しているケースが多いなと思うんですよ。
でまあよく使われるのはやっぱメールですね。
はいはいはいだからそのそういう詐欺メールでフィッシングメールとかでこっちのアカウント id とパスワードを抜き取ってあたかも本人のような操作をするってこと?
まあそれもありますし乗っ取らなくてもメールアドレス偽装は割と簡単ですね。
うーん確かに。
僕が小山さんに送ったメールを小山さんが開いた時に本当にこれを送ってきたのはハリマなのかどうかっていう証明って難しいじゃないですか。
難しい。
難しいからもうまあ多分正しいんだろうと思ってホイホイ信じると思うんですけどまあその辺もやっぱ隙があるわけなんで。
はいはいはいはい。
もう人間のもう人為的なミスだもんね。
そうですね。
よくあるよねなんかこの社長秘書が社長のフリしてきたメールを社長だと思って振り込んじゃったとか。
うーんはいはい。
なりすましですよねそれもね。
なりすましですね。
なんでその辺を隙を見せないようにしましょうっていう話なんですよ。
はいはいはい。
例えばそのじゃあ特定の講座に送金させるというのが最終目的だとしたらまず自分は送金できる権限を持った人に対して支持を出せる人物になりすませたら割と送金できそうじゃないですか。
その会社のなんか税理士ですとか経理部の誰々ですとかっていうのを誰かに対して信じ込ませられたらいいよねっていうことなんですけど。
それを得るまでのステップっていうのは割と一個一個は割とどうでもいい情報なんですよ。
でもそれが積み重なっていくともうこれはこの人で間違いないなと信頼できる人だなっていう風になってしまうんで。
その一個一個に気をつけましょうというのが今日の結論なんですよ。
具体的な詐欺の手口
なるほど。
一応ねなんか本を読んできたんですけどちょっと古い本だったんで例がね分かりにくいかもしれないですけど。
例えばじゃああなたは会社で働いていますでそこに1本の電話が来ますとすいません総務部の山田ですとどうやらなんか経理部のネットワークが落ちてるらしいんですがあなたのところは大丈夫ですかみたいな電話が来てああうちは大丈夫ですよとそうなんですかもし何かネットワークトラブルあったら私に連絡してくださいとで結構外出てることが多いんで私個人の携帯番号を教えますんで必ずここにかけてくださいと。
ついでにどのネットワークを使ってますかみたいな情報も一緒に聞くんですよ。
そうしたら今度はまた別の人として別の部署に電話をしてあのネットワーク回線の点検があるんでさっき聞いたネットワークを遮断しておいてくださいとこの時間の間お願いしますって言ったらそれを聞いた人はほいほいわかりましたって言ってそれを遮断しますと。
そうしたらそのさっきの経理部の誰かさんはネットに繋がらなくなったなって言ってそうだこんな時はあの人に電話しろと言われてたなと言ってその人に電話をします。
で電話をしたらあのはいはいわかりました直しますとか言ってまたちょっと1回折り返しますって言って電話を切ってさっきケーブルを抜いてもらった人にさっきのケーブル挿して大丈夫ですと電話をしてでそれを確認したらまた経理の人に電話をして
たぶんネットワーク直ったと思いますよと本当だ直りましたねとなったらもうこの人は完全信頼できる人だなっていうのが出来上がるんでここまで来たらあの今後なんかこういうネットワークのトラブルなど起きないようにいいソフトがあるんでこれをダウンロードしておいてくださいと今からURL打ち込んでソフトダウンロードしておいてくださいねはいはいって言われたらそれがまあトロイの木馬みたいなやつだったりして
もうそれをインストールされるとパソコンを自由に操作できるようになってしまうというのがいやー怖いねーなんでこの1個1個の情報は別に大したことないんですよなんかそのネットワーク番号を教えたとてそんなに大事にはならないしそれ以外でもなんか電話の内線番号とか
そういうの聞いても大したことないんだがそれが積み重なるともうこの人は間違いないなと信じてしまうというのがあるんでこれを防ごうっていうのが今日の趣旨ですねはいはい怖いですメールもね怖いもんね最近
怖いですねメール怖いどうしてますかメール 俺基本的にメールはすべて選択する削除ですよ必要なメールもあるじゃないですかもうあのたぶん一緒に消してると思う
消してるかも読んだら消す あえとね会社のメールはさすがにそれはしないですけどはいあの個人のメールアドレスの方
あーなんかいろんなもの登録してるやつあれはもう常にゼロの状態ですね へー
全部消します読まずに 黒ヤギさん状態です
メールの意味ねーじゃんっていうね感じだと思うんですけど基本的にお知らせしか来ないっていう認識なんでそれ以外は全部詐欺
詐欺?でもいいと思いますその思想は うーん全部消しますね
この前あのうちの親に詐欺電話かかってきてさ 警察を名乗る人から電話かかってきて
親親がっつり詐欺じゃないですか
でなんかねちょっと詳細忘れたんですけどとりあえず警察と名乗る人からかかってきて 個人情報抜き出そうとしてくるとで走行しているうちにお父さんが帰ってきて
でそのお母さんがいやもうお母さんって言ってももう70とかですから いやなんか警察からかかってきてどうなこうのでお父さんはまあ頭のいい人なんで
あのお母さんが頭悪いって意味じゃないですよ あのすぐに詐欺っていうのを察知して
なんて言ったかなあなたの上司の名前を教えてくださいと 言った時に
いやその上司僕はそこの警察署知ってるんでこっちからかけ直しますって言って 切ったらしいですけど
ねえなんかそういうのもかかってくるらしいですからね いやそうですよもうちょっと本物っぽいもので来られて
かつなんかそういう緊急を要していますみたいなこと言われたりすると 本来するべき確認のステップをすっ飛ばしてしまって
まあこれぐらいだったらいいかみたいなのをほいほい教えてしまうことがある オレオレ詐欺とかもそれに近いよねよく考えれば
まあそうですねだからそういうなんかちっちゃい例えば自分のあの会社員だったら 社員番号とかその自分の部署の内線番号とか上司の名前とか
まあ一個一個は別に大したことなくてもそれも気をつけた方がいいですよということ なんですよ
積み重なると大変になっちゃうんで そういう情報ででもちょっとしたことで簡単に抜き取れますもんね
だから特にね狙われやすいのは会社だったら大きい会社の新入社員の人 は狙われやすいと言われてて
その会社のことよくわかってないしどこまで教えていいものか悪いものなのかっていう 判断もあまりついてないので大手企業の新入社員は狙い目と
書いてましたんで気をつけてください 新入社員の方は気をつけてくださいと
そうですねだからでっかい会社だともうその知ってる人の方が少ないっていう名前と顔が一致する人の方が少ないっていう状況全然あるじゃないですか
でドコドコ部の誰々ですみたいな言われたら まあそうなんだろうなっていう風にね思っちゃうと思うのでその辺はね要注意ですね
いや大企業でもねこんなことが起こり得ますからね そう起こり得るんですよ基本的にねセキュリティってやっぱ防御しかできないんで
ゼロトラストの考え方
完璧な防御ってまあないですよ ないの
ない こうなんか逆探知とかして逆にこう
トロイの木場を送り返すみたいなことできないの 送り返すみたいなことねいやそういう映画はありますけどね
できないんじゃないかなぁ いや怖いっすよねほんまに
ならなんかゼロトラストっていう言葉がありましてもう信用するなと何も 俺のメール状態じゃないですかそれ
来るメール全部詐欺だと思ってるんで 姿勢をもう全ての人メール電話に向けてやりましょうと
いやあってると思う そうだからねこれ隙を突かれてるなと思うのが社会的にいい人と真逆っていうのかな
真逆というか逆にぴったり合ってるというか人に親切にしましょうとか困ってる人がいたら助けましょうみたいな
精神が割と隙を生んでるなというところがあるんですよ 急いでそうだからじゃあ助けてあげるついでにこれも教えてあげようみたいなこととか
っていうのをすると情報が抜かれていくのでなんかもう嫌なやつになった方が 防御力高くなる 樋口防御力が高いよなと思うんですよね
海外とかでさこれはちょっとその今でいうハックとかの話とはちょっと違うんだけど 怪我してるフリしてるおばさんがいて
そのおばさんを助けてるそのおばさんが実は詐欺師で 助けてる間に別の人が来てカバン盗んでいくとかさ
この人の領司につけ込んでお金かすめ取る人たちもいるじゃないですか マジで地獄に落ちるよって思うんですけど
さっきハリーさんが言ったようなね優しいが故にこの現象を引き起こしてしまったみたいなさ
そういうことも起こり得るじゃないですか だからもうそうなんか道端で困ってる人がいた時にね
お前どうせ詐欺師やろっていう目を押しながらね素通りできるぐらいに嫌な奴になった方がいいかもしれない
まあ自分の安全は保たれますがどうなんでしょうね僕はそういう時でも人を助ける人であって欲しいなと思いますよ
だからあれですよあのなんか昔のウイスキーのコマーシャルでバーで飲んでる人がお金貸して欲しいみたいな
子供の病気で困ってるんだってお金渡してお前あれ詐欺だぞみたいなの言われたらそうか
この病気の子供はいなかったんだよかったよかったいう懐の深さの人になろう
ならないよあの嘘つきめって思うよねあの時私は2000円返しやがれって思うけど
優しい心につけ込む詐欺
いやうちの嫁が同じ手口に引っかかったことありますね なんですか
3年ぐらい前に財布を落としてしまってとかって言っておじいさんに財布を落としてしまってって言って
帰るまでの2000円をどうかちょっと貸してもらえませんか必ず返しますんでって言って
連絡先を渡して2000円渡したと やばい渡し放題じゃないですか電話番号も渡して2000円も渡したのか
でそれ聞いた時にボス詐欺師やぞって言って何してるんって言って
でもだってめちゃめちゃ困ってたからみたいなんで結局そのお金は戻ってこずに
その電話番号がどこでどう流出したかとかわかんないけどその時も必ず返すんでって言って
ずっと待ってたよね連絡もないいつ返してくれるんだとでも来なかったっていうので
すごいショック受けてたけど勉強代やと思ってその2000円諦めっつって
パスワード管理の重要性
めちゃくちゃ怒ってたけどねいやでも迷惑メールも突っ込みどころめっちゃあるもんね
でもそれで引っかかる人がいるんだろうね まあメールはねもう定番ですからね
例えばどっかのイベントとかで名刺交換してそこから仲良くなってメールのやり取りするようになってみたいな
人が急にこれおすすめだからダウンロードするといいよみたいなんで謎のURLを送りつけてこられたりしたらもうそれは抗えないじゃないですか
信用しきってるんでだからね個人でももちろんそうですし会社としてもねその辺ねちゃんとしていかないといけないなと
今日の回としてはゼロトラストで行けと そうですね
何も信用するな 全部疑って大丈夫ってことですね
はい もうかかってきた電話
はい 来るメール
はい すべて詐欺だと
そうですね あなたたち間違ってない?
身を守るという意味ではねそれがいいですね
だからなんか焦らされたりしてもうこれだけ教えてほしいみたいなのとかも全部いや正当な手順を踏んでください
それで相手に怒られようがいいですと
防ぐのはあなたですと
はいはいはいはいわかりましたもう誰も信用するのはやめます
アプリとかでもやっぱログインするときってIDとパスワードの組み合わせじゃないですか
あれって別にパスワードIDとパスワードが必要なのではなくこのアカウントの持ち主は私ですよっていうのが相手と確認できたらいいわけですよ
だからあんまりセキュリティ的にはパスワードを送るっていう一個ステップが挟まってるんで
パスワードを送らなくて済むならそっちの方がより安全だろうと思うんですよ
なるほどね
最近だとパスキーとか生体認証とかでねできたりするんでできるならやった方がいいですよね
はいはいはいあとなんかできることないんですか
できることあのこれあんまりなんか今日の話と関係ないかもしれないですけど
昔あったのがとあるなんか予約システムと契約したんですよ
それを使うにはあの僕自身は使わないですけど他の人に使ってもらって
なんかアカウント登録が必要なものだったんですけどそれを使って初日ですよ
とある人からその予約が入ったんですよそれを見たらメールアドレスと
パスワードパスワードがそのまま表示されてるんですよこれがどれだけ危険かわかりますか
わからないです
これはもう致命的なミスをミスというかまあありえないんですよ本来は
だからここでメールアドレスとパスワードを見れると僕が見れるということは
そのサービスを運営してる人も当然見れるし僕がそのメールアドレスとパスワードの組み合わせで
他のAmazonとかにログインしようとしたら入れるかもしれないわけじゃないですか
だから本来こんなパスワード管理の方法はないんですよ
いやわかります
パスワードって本来例えば小山さんのパスワードが小山123だとして
それがデータベースに保存されるわけですよね小山さんの情報としてで
そのメールアドレスとパスワードの組み合わせ合ってるかどうかみたいなのを見るんですけど
小山123というパスワードだとしてもデータベースにはそのまま保存されないんですよ
暗号化されてるってやつだよね
そうですハッシュ化という手順を踏んでるんで
なんかABDF09みたいな謎の文字列になってるんですよ
そうするとそのサイト管理者の人ですら本当のパスワードっていうのはわからないし
ハッシュ化されたパスワードは基本復元不可能なので
仮にそれで漏れたとしても安全ですよねっていうのはあるんですよ
ハッカーの心理と対策
あるんですがでもこれもねいろいろとハッカーの人たちはやっぱクリエイティブなんで
そこすらも突破することも可能ですね
いや俺生まれ変わったとしたらハッカーになってたかもしれないね
ああいいじゃないですか憧れますよね
なんかいいよね映画とかでもさ本来悪いことしてるやつなんだけど
なんか国家を守るために悪者を雇うみたいなんでハッカーとか出てきたりするじゃないですか
ハッカーかっこいいね
ハッカーかっこいいですよ
ハッカーになりましょうよ
こんなお題しときながら不謹慎ですけど
それぐらいなんか頭いいんでしょうね
なんか難関があるとチャレンジしたくなるみたいな
ああそれはそうかも
やっぱ僕とかも知り合いがなんかホームページ作りましたとかってなると
やっぱとりあえず試しますからね簡単なハッキング手法を
フォームにアラートなんとかみたいなのを書くと
何も対策されてないとちょっと相手に嫌がらせをできるっていうのがあるんですよ
やめてくれよ
だからそれごときで突破されるようではやっぱ良くないよっていう
なるほどね
隙を見せないようにしましょうっていうことですかね
そうですよね不正義をはないんで全て疑ってかかってもいいということですね
ゼロトラストですよ信用ゼロですよ
すごい言葉が今日出てきましたけどそれでもいいという世の中です
ゼロトラストの精神でいきましょう
まとめと注意喚起
常に確認してから渡していいのかどうかというのね
基本的にこっちから提供するものはもう何もないと
そこまでは言ってないけどな
俺はそれでいいと思うよ
このデータくださいとかはあるじゃないですか
嫌だって
それないと保険証発行できませんとか言われるじゃないですか
じゃあもういらないと保険証
ヤバいわこの人森の中とかに住んだ方がいいわ
自給自足でね
自分で人参育てて
そうそう何も信じなかった男になるのか
そのぐらいでいいということですね
いや良くないです
ということでソーシャルエンジニアリングというね
人間の好きや行動のミスをついて個人情報などを盗み出す手法というのがありますと
多くの会社の詐欺とかはこれ系だったりするんでぜひ気をつけてくださいと
セキュリティのせいじゃないもんね
人間のせいだもんね
はいどんだけ頑丈な鍵があっても
扉ひょいって乗り越えられてきたりとか
扉ごと破壊されたりとかね
その鍵自体をこっちから渡しちゃってるケースもあるっていうね
そういうことですよ
気をつけましょう
はい気をつけましょうということでね
今回の感想メールまたアップルポッドキャストレビューや
スポティファイのコメントボイスのコメントでもお待ちしています
二人でコメント欄をすべて読んでいますので
今後の番組をより良くするために
あなたの感想や話をしてほしいトークテーマを募集しています
それでは今週も聞いていただいてありがとうございました
また来週お会いしましょう
二人 さよなら