ソーシャル・エンジニアリングとは、IT技術を使わないハッキングのことです。
たとえば、コンピュータを使っている人の後ろに立ってパスワード入力の際のキーボード入力を盗み見る、情報システムの担当者のふりをしてシステムに詳しくない人から情報を聞き出すなど様々な方法があります。
いくら頑健なセキュリティシステムを構築しても、人が弱点になっていては意味がありません。
先日、ぎゅう詰めの満員電車の中で、まだ20代と思われるスーツ姿の男性がA4サイズの書類を開いて見ていました。私は、その人の肩越しからその書類の中を、とてもよく見ることができました。
そこには、約20人ほどの名前とふりがな、社名、所属部署、内線番号および「契約期間」が一覧表になっていました。私はすぐに、それが「派遣先リスト」であることが分かりました。そして、よく見ると隅っこに大手の人材派遣会社の社名が・・・。
満員電車の中ですから他に目線をやることもできなくて、約5分間その書類を凝視し続けました。私は記憶力が良い方ではありませんが、10人分くらいの情報は記憶することができました(もちろん、すぐに忘れてしまいましたが)。
私に悪意があれば、その派遣会社に電話して、記憶した10人分の情報とリストを見ていた男性の風貌を伝えて次のように「脅す」ことができます。
「・・・今お話した内容を御社の顧客のX社に伝えますよ。X社は大手信販会社ですよね。そうすると、契約は打ち切りになるばかりでなく、個人情報の管理が極めて甘い派遣会社という評判が業界全体に広がり、御社は相当な損害をこうむることになります。さあ、どうしますかねえ・・・」
・・・まあ、上記の部分は「冗談」ということでご容赦ください。
また、比較的よく見かける光景ですが、電車の中でPCを開きメールを書いている人がいます。先日たまたま隣に座った人のPCの画面をちょっと見たら、「XXの契約について」というタイトルがありました。
ソーシャル・エンジニアリングはシステムの脆弱な部分、つまり人をターゲットにしたハッキングです。言うまでもなく、パブリックスペースである電車の中で社外秘情報を広げるのは論外です。
来月になると新入社員がたくさん入ってくる会社にお勤めの方々、最初が肝心です。しっかりと教育をしてください。
ついでですが、ここネットの中もパブリックスペースであることをお忘れなく。
(人材育成社)