Social Engineering ソーシャルエンジニアリング
Social Engineeringとは ソーシャルエンジニアリングとは、不正な理由でターゲットに特定の情報を開示させたり、 特定の行動を取らせたりすることを目的としたすべてのテクニックのことを指す。 https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/what-is-social-engineering Quid pro quo 何かのための何か Quid pro quoはギリシャ語で、代わり・代替などの意味。 英語ではSomething for something. 攻撃者はターゲットに対して何か利益のあることを提案して、 その見返りとして攻撃をしかけること。 低レベルの攻撃者が行うソーシャル・エンジニアリング攻撃の1つ。 例:攻撃者はある企業のITサポートを騙り、従業員にたいして、 ソフトウェアのアップデートやセキュリティ製品の導入をサポートする。 その過程で、従業員の端末にマルウェアやRATをインストールすること。 Eliciation 誘導 Elicitationとは、論法や話法によって結論(例えば真理)を引き出す、引き出すという意味。 特定のクラスの行動を呼び起こす(引き出す)刺激と定義されることもある。 米国政府の国家安全保障局では、Elicitationを “一見普通の無邪気な会話の中で、微妙に情報を引き出すこと “と定義している。 この会話は、レストラン、ジム、保育園など、ターゲットがいる場所ならどこでも発生する可能性がある。 Elicitationが有効なのは、リスクが低く、発見が困難な場合が多いからだ。ほとんどの場合、 ターゲットはどこで情報が入手されたかを知りません。