攻撃と脅威
ダンプスターダイビング
別称: トラッシング, ゴミ漁り
定義
組織や個人が廃棄した紙、リムーバブルメディア、機器などを漁り、機密情報を取り出す手口。
ダンプスターダイビングは OSINT の物理版です。攻撃者はゴミ箱、リサイクル容器、搬入口のダンプスター、電子廃棄物の山を漁り、印刷物、付箋、契約書、組織図、USB メモリ、ドライブ、廃棄サーバ、ネットワーク図などを探します。得た情報はフィッシング、プリテキスティング、侵入準備の偵察に直結し、認証情報や個人情報そのものが入手されることもあります。対策はクロスカットシュレッダーでの機密紙の裁断、施錠された機密廃棄物用ボックス、廃棄媒体の認証付き破壊(NIST SP 800-88)、フルディスク暗号化、資産廃棄の手順整備、定期的な教育です。
例
- オフィスビル裏のゴミ箱から組織図とパスワードを書いた付箋を回収する。
- 電子廃棄物から暗号化されていないノート PC を持ち出し、顧客データを取り出す。
関連用語
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ショルダーサーフィン
肩越しに、または隠しカメラ越しに、画面・キーボード・PIN パッドを盗み見て、認証情報・コード・機密情報を盗む手口。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
テールゲーティング
正規のユーザーに気づかれずに密着して後ろをついて行き、アクセス制御を不正に通過する物理的侵入手法。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。