なりすまし入室(テールゲーティング)とは?
なりすまし入室(テールゲーティング)とは、正規の入室権限を持つ人の後ろについて、セキュリティゲートやドアを通過し、オフィスや施設に不正侵入する物理的な攻撃手法です。内部不正・現場のリスク(人と物理)の代表的な脅威で、ICカードや生体認証で守られた場所でも、人の親切心や不注意を悪用して侵入します。配達員や清掃員を装ったり、両手に荷物を持った人を演じたりして、従業員にドアを開けてもらうソーシャルエンジニアリングの要素も含んでいます。
なりすまし入室(テールゲーティング)を簡単に言うと?
マンションのオートロックに例えると、住人が入る時に「同じマンションの人だろう」と思わせて一緒に入ってしまう不審者のようなものです。スーツを着て社員風を装ったり、「カードを忘れちゃって」と困った顔をしたり、大きな荷物を持って「手が塞がっているので」とドアを開けてもらったりします。人の優しさや「断りづらい」という心理を利用して、セキュリティを突破する手口です。一度建物内に入ってしまえば、パソコンを盗んだり、機密書類をコピーしたり、USBメモリでマルウェアを仕込んだりと、やりたい放題になってしまう危険な侵入方法なのです。
なりすまし入室(テールゲーティング)で発生する被害は?
なりすまし入室(テールゲーティング)により、物理的な盗難から情報漏洩、さらにはサイバー攻撃の起点となるまで、多岐にわたる被害が発生します。内部不正・現場のリスク(人と物理)として、一度侵入を許すと、内部の人間と見分けがつかないため、長時間にわたって自由に活動され、被害が拡大します。特に、機密エリアへの侵入や、内部ネットワークへの物理的アクセスによる被害は深刻です。
なりすまし入室(テールゲーティング)で発生する直接的被害
- 機密情報・機器の盗難
サーバールームに侵入してハードディスクを物理的に持ち去ったり、机上の機密書類をコピー・撮影して、企業秘密や顧客情報が盗まれる
- 内部システムへの不正アクセス
無人のPCにUSBメモリを挿してマルウェアを感染させたり、ネットワークポートに不正機器を接続して、企業システム全体が危険にさらされる
- 物理的破壊・妨害行為
重要な設備やサーバーを物理的に破壊したり、配線を切断したりして、業務が完全に停止し、復旧に莫大な時間とコストがかかる
なりすまし入室(テールゲーティング)で発生する間接的被害
- 従業員の安全への脅威
不審者の侵入により従業員が身体的な危険にさらされ、職場の安全性への不安から離職者が増加し、採用にも悪影響が出る
- 監視カメラ映像の悪用
侵入者が内部の監視カメラの位置や死角を把握し、その情報を使って更なる侵入計画を立てたり、他の犯罪者に情報を売却する
- 信用・評判の失墜
物理セキュリティの甘さが露呈し、「簡単に侵入できる会社」として取引先からの信頼を失い、セキュリティ監査で不適格と判定される
なりすまし入室(テールゲーティング)の対策方法
なりすまし入室(テールゲーティング)への対策は、物理的なセキュリティ強化と従業員の意識向上の両面が必要です。内部不正・現場のリスク(人と物理)を防ぐために、マントラップ(二重扉)の設置、一人一回の認証徹底、監視カメラによる入退室記録が基本となります。また、全従業員への定期的なセキュリティ教育で、見知らぬ人を安易に入れない、必ず身分確認をする文化を醸成することが重要です。
なりすまし入室(テールゲーティング)の対策を簡単に言うと?
空港の保安検査に例えると、一人ずつしか通れないゲートを設置し、必ず全員が自分のチケット(IDカード)を見せて通る仕組みを作ることです。さらに、警備員(受付)が来訪者の身分と用件を確認し、訪問先の社員が迎えに来るまで待機してもらいます。従業員には「知らない人がいたら声をかける」「ドアを開けてあげない」という基本ルールを徹底します。親切心は大切ですが、セキュリティエリアでは「疑ってかかる」ことが組織と仲間を守ることにつながります。物理的な仕組みと、人の意識の両方を変えることが、なりすまし入室を防ぐ鍵となります。
なりすまし入室(テールゲーティング)に関連した攻撃手法
内部不正・現場のリスク(人と物理)において、なりすまし入室(テールゲーティング)と密接に関連する3つの攻撃手法を解説します。
- 覗き見/端末盗難/USBドロップ
なりすまし入室(テールゲーティング)で侵入した攻撃者が実行する典型的な攻撃です。オフィス内を自由に動き回れるようになると、画面の覗き見、放置された端末の盗難、悪意あるUSBの設置などを容易に実行でき、物理的侵入が複合的な被害につながります。
- 悪意あるUSB(BadUSB等)
テールゲーティングで侵入した攻撃者が、無人のPCにBadUSBを接続して瞬時にマルウェアを感染させます。物理的なアクセスがあれば数秒で実行可能なため、なりすまし入室と組み合わせることで、高度なサイバー攻撃への入口となります。
- 内部不正(インサイダー脅威)
外部の攻撃者がなりすまし入室で「内部の人間」として振る舞うことで、実質的に内部不正と同じ脅威となります。また、内部の協力者がいる場合、意図的にテールゲーティングを許可することで、共謀した犯罪が実行される危険性があります。
なりすまし入室(テールゲーティング)のよくある質問
はい、むしろ小規模オフィスほど「みんな顔見知り」という油断から狙われやすいです。来訪者管理と、知らない人には必ず声をかける習慣づけから始めることを推奨します。
事前に訪問予定を確認し、必ず受付を通してもらい、可能な限り社員が同行することが理想です。定期的な業者は、専用の入館証を発行して管理することも効果的です。
初期投資は必要ですが、情報漏洩による損害を考えれば費用対効果は高いです。予算が限られる場合は、重要エリアだけでも優先的に導入することをお勧めします。
「セキュリティルールで、各自のカードで入室することになっています。受付で確認してください」と丁寧に伝えます。相手が本当の社員なら理解してくれるはずです。
完全な防止は困難ですが、物理的対策と教育の組み合わせで大幅にリスクを低減できます。定期的な訓練や抜き打ちテストで、従業員の意識を維持することが重要です。
更新履歴
- 初稿公開
