プロ翻訳者に必要な意識・知識・技能をバランスよく身に付けるIT翻訳勉強会
検索
当勉強会の紹介
翻訳に効く言葉集
かみうまメルマガ
ログイン
#038 social engineering
- 2009年05月16日(土) 13:13 JST
-
- 投稿者:
- uchiyama
-
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
かみうまメルマガ #038(2009/05/16)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
うちやまです。こんにちは!
今週のメルマガも張り切ってまいりましょう。
■はじめに
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回のテーマはソーシャル・エンジニアリング(social engineering)
です。
英和辞典で引くと「社会工学」としか出ていないこともあるこの用語で
すが、IT分野では、セキュリティ関連の用語として扱われ、違った意味
を持ちます。
■ソーシャル・エンジニアリングとは
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ソーシャル・エンジニアリング(social engineering)とは、人間の心
理の隙を突いた騙しの手法を用いて、機密情報を不正に取得したり、シ
ステムへ不正に侵入したりする行為を指します。
たとえば、ある人が使っているパスワードを知りたい、と思った悪人が、
その人へ電話をかけて言葉巧みにパスワードを聞き出したり、その人の
机の引き出しにパスワードを記したメモや付箋紙がないか探したり、そ
の人がパスワードを入力する手元を盗み見たり、というのがソーシャル
・エンジニアリングの例です。パケット解析やら暗号解読やらといった
技術的な手段でパスワードを割り出すのではなく、何らかの社会的・社
交的(social)な手段を用いている所がミソです。
○ http://searchsecurity.techtarget.com/...20,00.html
| In computer security, social engineering is a term that
| describes a non-technical kind of intrusion that relies
| heavily on human interaction and often involves tricking
| other people to break normal security procedures.
ソーシャル・エンジニアリングの場合でも、攻撃者側の狙いは、システ
ムへの不正侵入やデータの不正取得など、通常のセキュリティ攻撃とさ
ほど変わりません。でも、強固なセキュリティ対策を施したシステムに
対して技術的手法で正面突破を図るより、その利用や管理を行っている
人間の心の隙やミスを突く方がはるかに簡単だ、ということが、この手
法の背景にあります。
○ http://www.securityfocus.com/infocus/1527
| The one thing that everyone seems to agree upon is that
| social engineering is generally a hacker's clever
| manipulation of the natural human tendency to trust. The
| hacker's goal is to obtain information that will allow
| him/her to gain unauthorized access to a valued system and
| the information that resides on that system.
■具体例
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ソーシャル・エンジニアリングの具体例をいくつか見てみましょう。
●例1:電話を使った秘密情報入手
先ほども例に挙げましたが、電話はソーシャル・エンジニアリングの典
型的な手口の1つと言えます。
例えば、ある会社のシステムへの侵入を企てた攻撃者が、そこの社員に
なりすましてシステム管理者に電話をかけ、IDとパスワードを教えても
らう、といった例が考えられます。ものすごく困った新人のふりをして
泣きを入れたり、あるいは幹部社員のふりをして威圧的に命令したりな
ど、言葉巧みに管理者から情報を聞き出します。「オレオレ詐欺」みた
いなものですね。
○ http://www.aesi.com/security/V1comput/Social.htm
| The attacker pretends to be a legitimate end-user who is
| new to the system or is simply not very good with
| computers. The attacker may call systems administrators or
| other end-users for help. This "user" may have lost his
| password, or simply can't get logged into the system and
| needs to access the system urgently. The attacker may sound
| really lost so as to make the systems administrator feel
| that he is, for example, helping a damsel in distress. This
| often makes people go way out of their way to help.
あるいは、一般ユーザーを標的にした場合なら、その人が利用している
インターネット・プロバイダーの技術担当者のふりをして電話をかけ、
「アカウントのリニューアル作業のためにお客様のパスワード情報が必
要になりましたので教えていただけますでしょうか?」とか何とか、分
かったような分からないようなことを言って情報を聞き出す、という手
口が考えられます。カードの暗証番号なら、他人にやすやすと教えては
いけないと心得ている人が多いでしょうが、ネットのパスワードとなる
と、そこまで意識せずに簡単に教えてしまう人もいそうです。
●例2:ゴミからの情報入手
企業が出す廃棄書類やゴミの中から重要情報を入手するというのも、単
純ながら侮れない手口です。英語では「dumpster diving」や
「trashing」と呼びます。
もちろん、シュレッダーなどの対策を取っている企業も多いはずです。
でも、社員が何気なくゴミ箱に捨てる紙きれや廃棄物の中にだって、大
事な情報が潜んでいるかもしれません。
○ http://www.securityfocus.com/infocus/1527
| Dumpster diving, also known as trashing, is another popular
| method of social engineering. A huge amount of information
| can be collected through company dumpsters. The LAN Times
| listed the following items as potential security leaks in
| our trash: "company phone books, organizational charts,
| memos, company policy manuals, calendars of meetings,
| events and vacations, system manuals, printouts of
| sensitive data or login names and passwords, printouts of
| source code, disks and tapes, company letterhead and memo
| forms, and outdated hardware."
●例3:フィッシング詐欺
「フィッシング(phishing)」という言葉は、既にご存知の方も多いと
思います。ユーザーのカード番号、暗証番号、パスワードなどを盗むた
めに使われる詐欺の手口です。これもソーシャル・エンジニアリングの
1つと言えます。
攻撃者はまず、銀行やクレジットカード会社などになりすました偽メー
ルをユーザーに送り付けます。その中には「下記Webサイトにアクセス
して会員情報を更新してください」といった文言があり、URLが示して
あります。ユーザーがそのURLを開くと、本物の銀行やカード会社そっ
くりのWebサイトがあるのですが、実はそれは攻撃者が用意した偽のサ
イトです。そこに入力したカード番号や暗証番号は、そっくりそのまま
攻撃者の手に渡ってしまいます。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Phishing is a form of social engineering. Phishing attacks
| use email or malicious web sites to solicit personal, often
| financial, information. Attackers may send email seemingly
| from a reputable credit card company or financial
| institution that requests account information, often
| suggesting that there is a problem. When users respond with
| the requested information, attackers can use it to gain
| access to the accounts.
また、フィッシングの中でもさらに標的を絞った手法として、「スピア
・フィッシング(spear phishing)」と呼ばれるものもあります。不特
定多数の人々を標的にした通常のフィッシングとは異なり、特定の組織
や個人のみを標的としたフィッシングです。相手に合った文面の偽メー
ルを送って、秘密情報を盗み出そうとします。
○ http://www.microsoft.com/uk/athome/se...shing.mspx
| Spear phishing describes any highly targeted phishing
| attack. Spear phishers send e-mail that appears genuine to
| all the employees or members within a certain company,
| government agency, organization, or group.
|
| The message might look like it comes from your employer, or
| from a colleague who might send an e-mail message to
| everyone in the company, such as the head of human
| resources or the person who manages the computer systems,
| and could include requests for user names or passwords.
|
| The truth is that the e-mail sender information has been
| faked or "spoofed." Whereas traditional phishing scams are
| designed to steal information from individuals, spear
| phishing scams work to gain access to a company's entire
| computer system.
以上、3つの例を紹介しました。これ以外にも、最初に挙げたように、
パスワードを入力する様子を盗み見るという手口(ショルダー・ハッキ
ング:shoulder hackingといいます)もあります。あるいは、標的の会
社のオフィス内に侵入するために、プリンターのメンテナンスやビル設
備の点検を担当する作業員になりすます、なんて手口もあります。
このように、技術的手法ではなく、人間の心理を突く何らかの詐欺的手
法でセキュリティを破る行為が、ソーシャル・エンジニアリングです。
■対策
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
こうしたソーシャル・エンジニアリングは、人間の隙を突いた攻撃です
から、ウィルス対策ソフトやらファイアウォールやらといった技術的対
策で防ぐのは困難です。
企業の場合なら、セキュリティ・ポリシーや運用手順をしっかり定め、
それを確実に遵守することが肝要です。また、電話やメールで情報を求
められた場合でも、相手の素性を簡単に信じて対応しないような注意が
必要になります。電話なら、いったん切って折り返しかけ直してみると
いう対応も有効です。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Be suspicious of unsolicited phone calls, visits, or email
| messages from individuals asking about employees or other
| internal information. If an unknown individual claims to be
| from a legitimate organization, try to verify his or her
| identity directly with the company.
また、フィッシング詐欺では、サイトのURLも要注目です。本物にどこ
となく似た雰囲気のURLだが、よく見ると違っていたりします。また
HTMLメールの場合、メール上でのURLの見た目と実際のリンク先が異な
る場合もあるので注意が必要です。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Pay attention to the URL of a web site. Malicious web sites
| may look identical to a legitimate site, but the URL may
| use a variation in spelling or a different domain (e.g.,
| .com vs. .net).
以上、今回のテーマはソーシャルエンジニアリングでした。
■編集後記
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
花粉症の時期はとうに過ぎたはずなのに、僕の鼻は、いまだに何かに
過敏に反応してしまいます。
今でも外出時はたいていマスク着用です。
でも、人の気配の全くない所を歩く時まで神経質にマスクをするのは、
豚インフルエンザ対策に超過敏な人、というふうに見えてしまう気がし
て、ちょっと恥ずかしい気がしないでもありません…。
来週5月23日(土)はスクーリングの開催日です。
そちらもよろしくお願いします。
---------------------------
□発行元:かみうま翻訳倶楽部 内山卓則
http://www.kamiuma.net
---------------------------
かみうまメルマガ #038(2009/05/16)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
うちやまです。こんにちは!
今週のメルマガも張り切ってまいりましょう。
■はじめに
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回のテーマはソーシャル・エンジニアリング(social engineering)
です。
英和辞典で引くと「社会工学」としか出ていないこともあるこの用語で
すが、IT分野では、セキュリティ関連の用語として扱われ、違った意味
を持ちます。
■ソーシャル・エンジニアリングとは
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ソーシャル・エンジニアリング(social engineering)とは、人間の心
理の隙を突いた騙しの手法を用いて、機密情報を不正に取得したり、シ
ステムへ不正に侵入したりする行為を指します。
たとえば、ある人が使っているパスワードを知りたい、と思った悪人が、
その人へ電話をかけて言葉巧みにパスワードを聞き出したり、その人の
机の引き出しにパスワードを記したメモや付箋紙がないか探したり、そ
の人がパスワードを入力する手元を盗み見たり、というのがソーシャル
・エンジニアリングの例です。パケット解析やら暗号解読やらといった
技術的な手段でパスワードを割り出すのではなく、何らかの社会的・社
交的(social)な手段を用いている所がミソです。
○ http://searchsecurity.techtarget.com/...20,00.html
| In computer security, social engineering is a term that
| describes a non-technical kind of intrusion that relies
| heavily on human interaction and often involves tricking
| other people to break normal security procedures.
ソーシャル・エンジニアリングの場合でも、攻撃者側の狙いは、システ
ムへの不正侵入やデータの不正取得など、通常のセキュリティ攻撃とさ
ほど変わりません。でも、強固なセキュリティ対策を施したシステムに
対して技術的手法で正面突破を図るより、その利用や管理を行っている
人間の心の隙やミスを突く方がはるかに簡単だ、ということが、この手
法の背景にあります。
○ http://www.securityfocus.com/infocus/1527
| The one thing that everyone seems to agree upon is that
| social engineering is generally a hacker's clever
| manipulation of the natural human tendency to trust. The
| hacker's goal is to obtain information that will allow
| him/her to gain unauthorized access to a valued system and
| the information that resides on that system.
■具体例
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ソーシャル・エンジニアリングの具体例をいくつか見てみましょう。
●例1:電話を使った秘密情報入手
先ほども例に挙げましたが、電話はソーシャル・エンジニアリングの典
型的な手口の1つと言えます。
例えば、ある会社のシステムへの侵入を企てた攻撃者が、そこの社員に
なりすましてシステム管理者に電話をかけ、IDとパスワードを教えても
らう、といった例が考えられます。ものすごく困った新人のふりをして
泣きを入れたり、あるいは幹部社員のふりをして威圧的に命令したりな
ど、言葉巧みに管理者から情報を聞き出します。「オレオレ詐欺」みた
いなものですね。
○ http://www.aesi.com/security/V1comput/Social.htm
| The attacker pretends to be a legitimate end-user who is
| new to the system or is simply not very good with
| computers. The attacker may call systems administrators or
| other end-users for help. This "user" may have lost his
| password, or simply can't get logged into the system and
| needs to access the system urgently. The attacker may sound
| really lost so as to make the systems administrator feel
| that he is, for example, helping a damsel in distress. This
| often makes people go way out of their way to help.
あるいは、一般ユーザーを標的にした場合なら、その人が利用している
インターネット・プロバイダーの技術担当者のふりをして電話をかけ、
「アカウントのリニューアル作業のためにお客様のパスワード情報が必
要になりましたので教えていただけますでしょうか?」とか何とか、分
かったような分からないようなことを言って情報を聞き出す、という手
口が考えられます。カードの暗証番号なら、他人にやすやすと教えては
いけないと心得ている人が多いでしょうが、ネットのパスワードとなる
と、そこまで意識せずに簡単に教えてしまう人もいそうです。
●例2:ゴミからの情報入手
企業が出す廃棄書類やゴミの中から重要情報を入手するというのも、単
純ながら侮れない手口です。英語では「dumpster diving」や
「trashing」と呼びます。
もちろん、シュレッダーなどの対策を取っている企業も多いはずです。
でも、社員が何気なくゴミ箱に捨てる紙きれや廃棄物の中にだって、大
事な情報が潜んでいるかもしれません。
○ http://www.securityfocus.com/infocus/1527
| Dumpster diving, also known as trashing, is another popular
| method of social engineering. A huge amount of information
| can be collected through company dumpsters. The LAN Times
| listed the following items as potential security leaks in
| our trash: "company phone books, organizational charts,
| memos, company policy manuals, calendars of meetings,
| events and vacations, system manuals, printouts of
| sensitive data or login names and passwords, printouts of
| source code, disks and tapes, company letterhead and memo
| forms, and outdated hardware."
●例3:フィッシング詐欺
「フィッシング(phishing)」という言葉は、既にご存知の方も多いと
思います。ユーザーのカード番号、暗証番号、パスワードなどを盗むた
めに使われる詐欺の手口です。これもソーシャル・エンジニアリングの
1つと言えます。
攻撃者はまず、銀行やクレジットカード会社などになりすました偽メー
ルをユーザーに送り付けます。その中には「下記Webサイトにアクセス
して会員情報を更新してください」といった文言があり、URLが示して
あります。ユーザーがそのURLを開くと、本物の銀行やカード会社そっ
くりのWebサイトがあるのですが、実はそれは攻撃者が用意した偽のサ
イトです。そこに入力したカード番号や暗証番号は、そっくりそのまま
攻撃者の手に渡ってしまいます。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Phishing is a form of social engineering. Phishing attacks
| use email or malicious web sites to solicit personal, often
| financial, information. Attackers may send email seemingly
| from a reputable credit card company or financial
| institution that requests account information, often
| suggesting that there is a problem. When users respond with
| the requested information, attackers can use it to gain
| access to the accounts.
また、フィッシングの中でもさらに標的を絞った手法として、「スピア
・フィッシング(spear phishing)」と呼ばれるものもあります。不特
定多数の人々を標的にした通常のフィッシングとは異なり、特定の組織
や個人のみを標的としたフィッシングです。相手に合った文面の偽メー
ルを送って、秘密情報を盗み出そうとします。
○ http://www.microsoft.com/uk/athome/se...shing.mspx
| Spear phishing describes any highly targeted phishing
| attack. Spear phishers send e-mail that appears genuine to
| all the employees or members within a certain company,
| government agency, organization, or group.
|
| The message might look like it comes from your employer, or
| from a colleague who might send an e-mail message to
| everyone in the company, such as the head of human
| resources or the person who manages the computer systems,
| and could include requests for user names or passwords.
|
| The truth is that the e-mail sender information has been
| faked or "spoofed." Whereas traditional phishing scams are
| designed to steal information from individuals, spear
| phishing scams work to gain access to a company's entire
| computer system.
以上、3つの例を紹介しました。これ以外にも、最初に挙げたように、
パスワードを入力する様子を盗み見るという手口(ショルダー・ハッキ
ング:shoulder hackingといいます)もあります。あるいは、標的の会
社のオフィス内に侵入するために、プリンターのメンテナンスやビル設
備の点検を担当する作業員になりすます、なんて手口もあります。
このように、技術的手法ではなく、人間の心理を突く何らかの詐欺的手
法でセキュリティを破る行為が、ソーシャル・エンジニアリングです。
■対策
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
こうしたソーシャル・エンジニアリングは、人間の隙を突いた攻撃です
から、ウィルス対策ソフトやらファイアウォールやらといった技術的対
策で防ぐのは困難です。
企業の場合なら、セキュリティ・ポリシーや運用手順をしっかり定め、
それを確実に遵守することが肝要です。また、電話やメールで情報を求
められた場合でも、相手の素性を簡単に信じて対応しないような注意が
必要になります。電話なら、いったん切って折り返しかけ直してみると
いう対応も有効です。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Be suspicious of unsolicited phone calls, visits, or email
| messages from individuals asking about employees or other
| internal information. If an unknown individual claims to be
| from a legitimate organization, try to verify his or her
| identity directly with the company.
また、フィッシング詐欺では、サイトのURLも要注目です。本物にどこ
となく似た雰囲気のURLだが、よく見ると違っていたりします。また
HTMLメールの場合、メール上でのURLの見た目と実際のリンク先が異な
る場合もあるので注意が必要です。
○ http://www.us-cert.gov/cas/tips/ST04-014.html
| Pay attention to the URL of a web site. Malicious web sites
| may look identical to a legitimate site, but the URL may
| use a variation in spelling or a different domain (e.g.,
| .com vs. .net).
以上、今回のテーマはソーシャルエンジニアリングでした。
■編集後記
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
花粉症の時期はとうに過ぎたはずなのに、僕の鼻は、いまだに何かに
過敏に反応してしまいます。
今でも外出時はたいていマスク着用です。
でも、人の気配の全くない所を歩く時まで神経質にマスクをするのは、
豚インフルエンザ対策に超過敏な人、というふうに見えてしまう気がし
て、ちょっと恥ずかしい気がしないでもありません…。
来週5月23日(土)はスクーリングの開催日です。
そちらもよろしくお願いします。
---------------------------
□発行元:かみうま翻訳倶楽部 内山卓則
http://www.kamiuma.net
---------------------------