ベイティング(釣り餌)とは、ソーシャルエンジニアリングの一種で、人間の好奇心や欲求につけ込んで攻撃する手法です。ソーシャルエンジニアリングとは、人の心理や行動のミスを巧みに利用してシステムへの不正アクセスや情報窃取を行う攻撃の総称です。
ベイティングでは、USBメモリや無料ソフトウェアなど、ターゲットが思わず手を伸ばしたくなるものを「釣り餌」として利用します。たとえば、マルウェアを仕込んだUSBメモリを会社のトイレや廊下に意図的に放置し、拾った人がパソコンに挿入することでシステムをマルウェアに感染させるといった手口が代表的です。
物理的なアイテムを使う点が特徴で、デジタル上の攻撃と異なり気づきにくいため非常に危険です。
拾得物のUSBメモリは絶対に使用しない、出所不明のソフトウェアをインストールしないなど、基本的なルールの徹底と従業員教育が有効な対策となります。
ソーシャルエンジニアリングに該当する行為の例はどれか。
| ア | あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。 |
| イ | 肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。 |
| ウ | 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。 | エ | プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。 |
答え:イ
ソーシャルエンジニアリングは人の心理や行動のミスにつけ込んで、操ろうとする攻撃の総称です。ア:総当たり攻撃、ウ:DDos攻撃、エ:バッファオーバーフロー攻撃です。
