オンライン・セキュリティとソーシャル・エンジニアリングについて

Updated 2 ヶ月 前 | 読了目安:6分
保存

弊社のパートナー施設様は、氏名や住所、クレジットカード情報から電話番号に至るまで、ゲストに関する大量のデータに弊社プラットフォーム上でアクセスできます。

つまり、管理画面のアカウントはサイバー犯罪者や詐欺師にとって魅力的な標的になってしまう恐れがあるのです。多くの場合、これらの犯罪者は様々なテクニックを用いて貴重なデータへのアクセスを試みます。このような犯罪の手口のひとつとして、「ソーシャル・エンジニアリング」と呼ばれるものがあります。


本記事の内容


ソーシャル・エンジニアリングとは?

ソーシャル・エンジニアリングは、相手を騙すことで、通常は開示されない機密情報やデータを入手しようとする犯罪の手口のことを指します。サイバー犯罪者はこの手口を使って管理画面のログイン情報を入手し、個人を特定できる情報(氏名や住所など)やクレジットカード情報など、ゲストに関する機密情報を盗み出そうとする場合があります。


ソーシャル・エンジニアリングを見抜く方法

ソーシャル・エンジニアリングを見抜くのは容易ではないため、効果的な手口として犯罪者たちによく用いられています。そこで、ソーシャル・エンジニアリングの被害に遭わないようにするための重要な注意点を以下にご紹介します。

  • 不審、または唐突な依頼 – 例えば、電話やメールで何かしらの依頼を突然される場合があります。このような場合は、必ず依頼主とその理由を尋ねるようにしてください。
  • 信頼性の高い人物の名を騙る連絡 – 貴施設または弊社の従業員だと主張する人物から電話があった場合、発信元の電話番号をチェックし、身元の確認を行うようにしましょう。確信がない場合は一度電話を切り、貴施設で把握している当該人物の電話番号に直接かけなおしてください。
  • デスクトップの遠隔操作 – 一度貴施設の信頼を得たら、詐欺師はソフトウェアを使って貴施設の端末を閲覧・操作し、機密情報にアクセスしようとする可能性があります。弊社が、ソフトウェアのインストールや遠隔操作に必要な情報の共有をお願いすることは決してありません。このような依頼をされた場合は、まずは相手を疑って、依頼内容にそのまま同意しないようにしましょう。
  • 不審な操作の記録 – 管理画面やその他システムで身に覚えのない変更や操作に気が付いたら、弊社までご報告ください。ご報告を元に、確認のために弊社よりご連絡を差し上げます。必要な場合は、貴施設の端末に不審なソフトウェアがインストールされていないか確認するための作業をお手伝いいたします。
  • 緊急性を煽る依頼 – 詐欺師は電話やメールを通じて何かしらの依頼を伝え、依頼内容を実行しなかった場合、アカウントへのログインが不可能となったり、アカウントを削除するというような警告をする場合があります。緊急性が高いように見せかける内容に惑わされずに、依頼の内容に疑問を持つようにしましょう。
  • 不正確な情報 – 通常、詐欺師は弊社のプロダクトや手続きに関して正確には理解していないため、不自然な依頼を行うことがあります。このような場合、「やむを得ない状況が発生したため」や「手続きに変更があったため」などといった説明で正当化しようと試みます。そのような言動は危険信号とみなし、不審に思った場合は弊社に直接お問い合わせください。

ソーシャル・エンジニアリングから身を守る方法

  • 弊社または貴施設のスタッフを騙る人物から不審な、または突然の電話、メッセージ、メールを受け取った場合、まずは最初に弊社にご報告ください。
  • ユーザー名、パスワード、2段階認証の認証コードなどの共有を要求された場合は、拒否してください。弊社がこれらの情報を伺うことは決してありません。
  • 管理画面で何かしらの変更(連絡先情報の変更、ユーザーアカウントの追加、プロモーションの追加設定など)を行うように依頼された場合、依頼主の身元を必ずご確認ください。弊社の従業員を名乗る人物からの依頼の場合、貴施設の担当アカウント・マネージャーか弊社のカスタマーサービスに直接電話して確認してください。貴施設の従業員を名乗る人物からの依頼の場合、貴施設にて把握している電話番号にかけなおして本人にご確認ください。

ソーシャル・エンジニアリングの被害に遭ってしまった場合の対処方法

ソーシャル・エンジニアリングの被害に遭ってしまったと思われる場合は、以下の手順で貴施設のアカウントを保護してください。

  1. こちらから管理画面アカウントのパスワードをリセットしてください。
  2. 管理画面内のすべての情報(空室状況、プロモーション、連絡先情報、ユーザーアカウントなど)を確認し、何か変更されていないか調べてください。
  3. 貴施設アカウントへの不正アクセスが発生した可能性がある旨を、弊社まで速やかにお知らせください。その際は、弊社にてご報告内容を調査できるよう、連絡してきた人物が誰を名乗っていたか、どのような依頼内容だったかなどの情報をご提供ください。

この記事は役に立ちましたか?