ソーシャルエンジニアリング とは？

ソーシャルエンジニアリング攻撃は、あらゆるセキュリティシステムの最も弱いリンク（人間）を標的にします。一般的な技術には、プリテキスティング（信頼を得るためのシナリオを作る）、ベイティング（USBドライブなど魅力的なものを提供する）、テールゲーティング（セキュアドアから後についていく）、フィッシング（詐欺的なメッセージ）が含まれます。これらの攻撃は、ファイアウォール、暗号化、アクセス制御を使用する人々を悪用することでそれらをバイパスします。

最も危険なソーシャルエンジニアリング攻撃は多段階です。攻撃者は最初にソーシャルメディアや公開情報から情報を収集し、そのコンテキストを使ってITヘルプデスクに電話してパスワードリセットを説得するかもしれません。または新入社員を装って同僚からWi-Fiクレデンシャルやシステムアクセスを共有させるかもしれません。機密情報が日常的に安全でないチャネルで共有されている組織では、攻撃対象領域が劇的に拡大します。

技術的なコントロールはソーシャルエンジニアリングリスクを減らすことはできますが、排除することはできません。厳格な確認手続き、最小権限アクセスポリシー、セキュリティ意識向上プログラムはすべて役立ちます。重要なのは、永続的で読み取り可能な形式（メール、チャットログ、共有ドキュメント）で存在する機密データの量を最小限にすることで、ソーシャルエンジニアが標的を欺くことに成功しても抽出できるものを制限します。

Vaulted における ソーシャルエンジニアリング の使われ方

Vaultedは、シークレット共有ワークフローに対するソーシャルエンジニアリング攻撃の爆発半径を制限します。Vaultedリンクは設定されたビュー回数後に自己消滅し、サーバーは復号能力なしに暗号文のみを保存する（ゼロナレッジアーキテクチャ）ため、通信チャネルにアクセスしたソーシャルエンジニアは期限切れのリンクまたは復号不可能なデータのみを見つけます。URLフラグメントの暗号化キーとオプションのパスフレーズ保護は、ソーシャルエンジニアリングだけではバイパスできないさらなる障壁を作ります。