攻撃と脅威
ピギーバッキング
別称: アクセスピギーバック
定義
正規の利用者が意図的に同伴を許可することで、攻撃者がアクセス制御を通過して不正に物理的・論理的アクセスを得る行為。
ピギーバッキングは、正規ユーザーの好意・偽装された口実・強要などによって、攻撃者が制限区域・ネットワーク・セッションへの入場権を得るソーシャルエンジニアリング手法です。テールゲーティングと異なり、正規ユーザーが意識的に、あるいは暗黙のうちに協力している点が特徴で、荷物を抱えた人のためにドアを押さえる、Wi-Fi のパスワードを共有するといった行為が典型例です。攻撃者は技術的にアクセス制御を破るのではなく、信頼や社会的慣習を利用します。対策としては、メイントラップ(二重扉)、カードのアンチパスバックルール、セキュリティ意識向上トレーニング、訪問者の同行義務、各自が必ず個別に認証を行うルールの徹底などが挙げられます。
例
- 宅配業者を装った攻撃者が、ドアを押さえてくれた従業員に続いて執務エリアへ入る。
- 従業員が無断で社内 Wi-Fi のパスワードを共有し、外部の訪問者が社内ネットワークへ接続する。
関連用語
テールゲーティング
正規のユーザーに気づかれずに密着して後ろをついて行き、アクセス制御を不正に通過する物理的侵入手法。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
ショルダーサーフィン
肩越しに、または隠しカメラ越しに、画面・キーボード・PIN パッドを盗み見て、認証情報・コード・機密情報を盗む手口。
ダンプスターダイビング
組織や個人が廃棄した紙、リムーバブルメディア、機器などを漁り、機密情報を取り出す手口。
ベイティング
魅力的な物理メディアやデジタルコンテンツを餌として被害者を誘い、マルウェアの実行や認証情報の窃取を狙うソーシャルエンジニアリング攻撃。