そもそも｢サイバー攻撃｣｢マルウェア｣とは何か 典型的な手口3選と感染対策をわかりやすく

マルウェアとは、感染したデバイスに不利益を与えるような悪意のあるプログラムの総称 （画像：『「サイバーセキュリティ、マジわからん」と思ったときに読む本』より引用。イラスト：加納徳博）

サイバーセキュリティの普及啓発に寄与した作品を表彰する「サイバーセキュリティアワード2023」。その書籍部門で最優秀賞を受賞したのが、『「サイバーセキュリティ、マジわからん」と思ったときに読む本』（オーム社）だ。一般人が「教養」としてのセキュリティ知識を身につけるのに適した本書から、今回はサイバー攻撃の「典型的な手口3つ」を抜粋する。

※本稿は『「サイバーセキュリティ、マジわからん」と思ったときに読む本』から一部抜粋・再構成したものです。

ソーシャルエンジニアリングとフィッシング

サイバー攻撃の典型的な例の1つが、ソーシャルエンジニアリングです。

【図表で見る】マルウェアの分類

ソーシャルエンジニアリングとは、人の心や行動の隙をついて、デジタル技術を用いずに、個人が保有する情報を盗み出すことです。日本ネットワークセキュリティ協会では、次のように定義されています。

コンピューターの技術やネットワークの技術を利用するのではなく、侵入に必要なID、パスワードや、企業の秘密情報などを物理的手段（あるいは心理的手段）によって獲得する行為

ソーシャルエンジニアリングは、物理的手段（トラッシング、ショルダーハッキング）と心理的手段とに分けられます。

物理的手段の1つがトラッシングです。トラッシングとは、職場のごみ箱などから重要書類やパスワードの書かれた紙を入手する方法で、映画でもよく取り上げられる有名な手口です。紙だけでなく、PCやスマホなどのデバイスを不正に入手して個人情報やカード情報などを抜き取ることも、トラッシングといえるでしょう。

続いて、もう1つの物理的手段を確認してみましょう。人がパスワードを打ち込んでいる画面やキーボード操作を後ろから覗き込む、ショルダーハッキングです。近年、電車やカフェなどの人が多い場所で仕事をしている人をよく見かけるようになりました。他人に見える状態でパスワードを打ち込んだり、機密情報の記載されたファイルを見たりすると、ショルダーハッキングの被害を受ける可能性があります。

最後に、心理的手段を確認しましょう。これは「正規職員になりすまして建造物に侵入する」「電話でパスワードを聞き出す」など、人の心理につけこんだ手口です。具体例として、子どもや孫、役所などになりすます手口を用いる振り込め詐欺が挙げられます。ほかにも、会社のシステム部門やプロバイダなどを装ってパスワードなどを聞き出したりする例もあります。こういった重要な情報は、安易に答えてはいけません。