■ソーシャル・エンジニアリング（social engineering）
　心理的な弱点を突いて電話などでネットワークのID／パスワードを聞き出したり、メールに仕掛けられた攻撃を実行するリンクをクリックさせたりする手法のこと。例えば、ネットワークに侵入したい企業のネットワーク管理部門に電話をして、新入社員になりすましてIDとパスワードを入手する、といった方法です。人間の心理を巧みにつくため、セキュリティ・システムを強固にしていても、簡単に突破されてしまう危険性があります。ネットワークIDやパスワードに関する電話による問い合わせに応じないのはもちろんのこと、個人認証を十分に行った後に制限付きのIDやパスワードを発行し、一定期間を経て制限を解除するなど、二重、三重のセキュリティ対策を行うことが重要です。ソーシャル・エンジニアリングによる攻撃を回避するには、個人情報や機密が含まれた書類の廃棄方法や、ネットワークIDやパスワードの運用ルールなどを厳格に定め、そのルールを徹底することが大切です。

　また最近では、マイクロソフトからのお知らせやエラー・メールを装うことで、受信者に添付ファイルを開かせるように仕掛けたウイルスなど、一種のソーシャル・エンジニアリングを利用した攻撃も増えています。こうした攻撃に対しては、セキュリティに関する教育と啓蒙が重要となります。ウイルス対策ソフトウェア・ベンダの報告を社員に告知し、ウイルスの特徴などを周知することによって、多くのソーシャル・エンジニアリングを利用したウイルスからの攻撃が回避可能です。