このブラウザは、JavaScript が無効になっています。JavaScriptを有効にして再度、お越しください。
新規登録
ログイン
ログイン
ログインID
パスワード
次回から自動ログイン
パスワード再発行
Principle
Policy & Design
Operation
Counter Measure
About Us
TOP
Terminology
Links
▲
Operation
Operation
>> コンテンツ詳細
Title
ソーシャル・エンジニア
Category
Operation
Contents
ソーシャル・エンジニアは、感情以外のものを悪用することもあります。それは、人が情報を処理するときの心理的な傾向──つまり、経験として得られている知識です。
経験があまり当てにならないことは認識しておくべきですが、われわれは経験がなければ何もすることはできません。経験を持たず、物事に対してその都度対応しなければならないとすれば、生きていくのは容易ではありません。心理学者であるロバート・チャルディーニ(Robert Cialdini)氏は、経験の必要性を次のように述べています。
われわれは、個人、出来事、たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできません。人は、そうする時間もエネルギーも、能力もありません。その代わり、ステレオタイプ──つまり常識を使い、それらを幾つかの特徴的なグループに分類し、それらの動機要因を認識して無意識のうちに反応するのです。
それでは、ソーシャル・エンジニアは、被害者の無意識の反応をどのように引き出すのでしょうか。
まず1つは、単純な情報処理方法によって生じる心理的な誤り「認知的偏向」を利用することです。経験則がまちがって機能すると、偏見が生じます。ソーシャル・エンジニアは、その経験則から、"重度で系統立った"誤りを引き起こすのです。この認知的偏向の例を幾つかあげてみましょう。
●選択支持偏向
わたしたちは、過去に行った「選択」を覚えています。特に、ネガティブなものよりは、ポジティブな選択をよく記憶しているものだ。例えば、オンライン・ショッピングを利用する人が、口コミで特売情報を知り、商品を格安で購入できたことを覚えているとします。そこでソーシャル・エンジニアは、あたかも口コミ情報のようなスパム・メールを被害者に送り、不正なWebサイトに誘導してクレジット・カード番号を入力させます。
●確認偏向
人は、自分の考えに合致する証拠を集めて、都合よく解釈しようとします。例えば、A社がオフィスのプリンタの保守契約をB社と結んだとします。B社の作業員は、全員グレーの長袖シャツを着用し、胸に名札を付けています。時間が経つにつれ、A社の社員は、B社の制服(グレーの長袖シャツと名札)を着用している人物を、すべてB社の作業員だと思い込むようになります。するとソーシャル・エンジニアは、B社の制服を盗み出したり偽装したりしてB社の作業員に成り済ませば、身分を疑われることなくA社に侵入できるようになります。
●接触効果
人は、親近度によって物事や人物を判断します。天災や事故に関するニュースは、人の親近感につけ込むフィッシング詐欺サイトの格好の材料となります。つまり、話題の事件に関する情報が得られると称するフィッシング詐欺サイトに、疑いもせずに訪問してしまいます。
●アンカリング
人は、何かを決断する際に、最初に触れたものに意識が集中してしまう傾向があります。例えば、銀行のWebサイトを偽装する不正なサイトは、銀行の本物のロゴを表示してユーザーをだまそうとします。ほかの個所をよく見れば、容易に偽装サイトと判断できるにもかかわらず、最初に目に付いたロゴによってだまされてしまうユーザーが少なくありません。
資料
ホームページ
http://
担当者
コメント
記入者:
secu
Powered by NetCommons2
The NetCommons Project
