企業などのネットワークに侵入する攻撃は、コンピューターシステムの脆弱性を利用するものだけではない。人間という脆弱性を利用するものがある。後者はソーシャルエンジニアリングと呼ばれており、古典的な詐欺やスパイ活動の延長だと言える。 　総務省の「国民のための情報セキュリティサイト」の「ソーシャルエンジニアリングの対策」のページを見てみよう。 　まず筆頭に挙げられているのが「電話でパスワードを聞き出す」だ。利用者や管理者の振りをして、重要な情報を聞き出すというのは、多くの場合有効な方法だ。 　こうしたソーシャルエンジニアリングに近いことは、普通の人もよくおこなっている。営業電話で、目的の部署や人の連絡先を聞き出す手法とよく似ている。人間は、割りとあっさりと情報を伝えてしまったりするものだ。 　次に挙げられているのが「肩越しにキー入力を見る（ショルダハッキング）」だ。パスワードやクレジットカード番号を入力する様子を、肩越しに見る攻撃手法だ。ATMのパスワード入力を覗き見る行為の、IT版だ。 　「ごみ箱を漁る（トラッシング）」のも、非常に古典的な方法だ。ゴミは情報の宝庫だ。社内名簿が手に入れば、その社員の振りをして攻撃できる。また、社内の組織図が手に入れば、部署間の関係を想像して、それらしい会話を組み立てることができる。配備されている機器から、攻撃の計画を立てることも可能だ。強引なところでは、シュレッダーの紙から情報を復元することも、根気があれば可能だろう。 　上記のページには載っていないが、さらに大胆な手法としては「構内侵入」もある。やり方はいろいろある。偽造したり、密かに入手したりしたIDカードで侵入する。他人のあとに付いて建物に入る。他の用で来たついでに違う部署に行く。清掃業者や回収業者の振りをする。 　入り口は厳しく管理していても、内部は杜撰な組織は多い。一度中に入ってしまえば、いくらでも建物内を移動できたりする。 　IDやパスワードを厳格に管理していても、その運用は人間がおこなう。そして、組織には多くの場合、イレギュラーや緊急時の、特別なルートがあったりする。 　会社によっては、全業務を自社でおこなうのではなく、社外に仕事の一部を出していたりする。世界中に拠点があり、連絡を取りあいながら仕事をしていることもある。 　攻撃者は、情報システムだけでなく、その利用者を狙う。自分がスパイになったつもりで、組織をどうやったら操れるか考えてみよう。「買収する」「ハニートラップを仕掛ける」といった、大昔からある手法で突破できるかもしれない。セキュリティの甘いところに潜り込み、内部からじっくりと攻めるという方法を使えるかもしれない。 　セキュリティは、防御側はあらゆる対策を考えなければならないが、攻撃側は一箇所の穴を見つければそれで済む。人間は、頻繁に入れ替わるし、替わらなくても刻々と状況が変化する。 　外部からの攻撃に対策を取るのは当然として、起きた時に素早く動ける体制を作るのも大切だ。 　大手のIT企業が攻撃を受けた際、どれだけ迅速に対応して報告を出してくるのか、IT業界の多くの人は注目している。 ＜文／柳井政和＞