Hello there, ('ω')ノ
🎭 ソーシャルエンジニアリングとは?
ソーシャルエンジニアリング(Social Engineering)とは、人間の心理や行動のスキを突いて、機密情報を引き出す手法です。 技術的なハッキングではなく、“人をだまして情報を得る”タイプの攻撃です。
OSINTと密接な関係があるのは、 👉「ソーシャルエンジニアリングの準備段階としてOSINTが使われる」からです。
🧠 代表的な手口と実例
① フィッシング(Phishing)
偽メールや偽サイトを使って、パスワードやクレジットカード番号を入力させる詐欺。
OSINTとの関係:
- ターゲットの使っているサービスやメールアドレスを事前に調査
- 「○○様の口座に異常が…」と本物そっくりの文面で信頼を誘導
② なりすまし(Pretexting)
信頼できる人物や組織を装って連絡し、情報を引き出す手法。
OSINTとの関係:
- SNSやブログから「上司の名前」「プロジェクト名」「社内用語」を収集
- 本物そっくりの言葉で「社内の人間」に見せかけて接触
③ テールゲーティング(尾行侵入)
社員になりすまし、一緒にオフィスに入るなどの物理的な侵入手法。
OSINTとの関係:
- 勤務時間・通勤ルート・服装などをSNSや観察で把握
- どの時間帯に社員証チェックが甘いかも狙われる
④ 誘導電話・音声詐欺(Vishing)
電話を使い、「コールセンター」「社内IT」などを装って情報を聞き出す。
OSINTとの関係:
- 会社の代表電話、担当者の名前、部署名を事前に調査
- 「○○さんから依頼を受けて…」とリアルなやり取りを演出
🎯 なぜOSINTがソーシャルエンジニアリングに使われるのか?
- SNS・採用サイト・社員ブログなど誰でも見られる情報から、企業内部の構造や人物が見えてくる
- 公開された名刺・報告書・登記情報もヒントになる
- 被害者に「これは本物だ」と思わせるために、**情報の“信憑性演出”**が必要
OSINTは、悪用されると「サイバー攻撃の前段階」となります。
🔐 防御のポイント:OSINT対策 ≠ 情報の非公開
企業や個人ができる対策は「すべて隠す」ではありません。 むしろ、公開する情報の“質と量”を意識して管理することが大切です。
✅ 情報を出す側の対策チェックリスト
| 項目 | 対策内容 |
|---|---|
| SNS | 上司名・プロジェクト名・出張先などは伏せる |
| 名刺 | 携帯番号・直通メールは表記しすぎない |
| 採用サイト | 社員の顔・部署・役職をすべて出しすぎない |
| メディア発信 | 「いつ・どこで・誰が」は曖昧に表現する |
| 自社HP | ドメインのWHOIS情報は代理登録を活用する |
✅ 情報を“調べる側”のモラル
- OSINTで得た情報は、合法・非攻撃的な目的の範囲で活用すること
- 「調べられるから、やっていい」ではなく、使い方に責任を持つのがOSINTリテラシー
✅ まとめ:人を狙う攻撃は、情報から始まる
- ソーシャルエンジニアリングは“情報”をもとに人間を攻撃する手口
- OSINTはその材料になるため、防御とモラルの両面が必要
- 調査者も企業も「出しすぎた情報」が攻撃の呼び水になると認識すべき
Best regards, (^^ゞ
