コラム

ソーシャルエンジニアリングとは? 主な手口や特徴、対策を解説

ソーシャルエンジニアリング
ソーシャルエンジニアリングとは? 主な手口や特徴、対策を解説

企業などの情報を狙う攻撃では、人の心情や本能を利用した、ソーシャルエンジニアリングと呼ばれる手法が用いられる場合があります。ソーシャルエンジニアリングによって情報漏洩の被害が発生したケースも少なくありません。では、どのような対策をとれば、ソーシャルエンジニアリングによる攻撃を防げるのでしょうか。
本記事では、人を操って情報を盗み出すソーシャルエンジニアリングについて、主な手口や特徴、対策を解説します。

ソーシャルエンジニアリングとは、心の隙を突いて重要な情報を盗む攻撃手法

ソーシャルエンジニアリングとは、巧みに心の隙を突くことによって重要な情報を盗む攻撃手法のことです。一般的なサイバー攻撃では情報通信技術の脆弱性を利用しますが、ソーシャルエンジニアリングは人間の心理を利用します。重要情報を取り扱う担当者のミスや同情を誘ったり、権威ある存在になりすまして指示に従わせたりして、ID・パスワードなどの重要情報を聞き出す手法がソーシャルエンジニアリングです。

パソコンをウイルスに感染させて不正に重要情報を送信させるといった方法ではないため、セキュリティ対策ソフトの導入などの技術的な対策だけでは、被害を防ぎきれない可能性があります。技術的な攻撃に対するセキュリティ対策とは別に、心理的な油断や思い込みにつけ入る攻撃への対策も講じなければなりません。

また、複数のサービスで使い回しているIDやパスワード、暗証番号などが窃取されると、重要な情報が連鎖的に盗まれてしまいかねない点にも注意する必要があります。

ソーシャルエンジニアリングの主な手口

ソーシャルエンジニアリングの手口は多彩で、日々新たな手法が生まれ、多くの企業や組織が狙われています。AIを使って大量に人間らしい文章を生成できるようになったことも、ソーシャルエンジニアリングが増加している理由の1つと考えられます。下記の8つの攻撃手法は、ソーシャルエンジニアリングの代表的な手口です。

なりすまし電話

なりすまし電話は、被害者が自然と信頼してしまう相手を装って電話をかけ、情報を聞き出す手法です。上司や取引先、ITシステムの担当者などを名乗って電話がかかってくると、少し声が違っていても相手を本物だと思い込み、誘導されるままに重要な情報を話してしまうことがあります。

また、例えば警察の担当者など権威ある立場を名乗る人物から「銀行口座から不正送金が行われていて、今すぐ状況を調査したいため、ネットバンキングのIDとパスワードを教えてほしい」といった電話がかかってきた場合、だまされてしまう人も少なくありません。警察は、治安と秩序を守る国家機関としてほとんど無条件に信頼されていることから、攻撃者にとっても利用しやすい存在といえます。

他にも、税務署や年金事務所などの公的機関を装うケースもあります。どのような相手からの電話であっても、重要な情報を伝えないことを、社内ルールとして徹底するようにしましょう。

のぞき見

のぞき見は、職場や外出先で使用しているパソコンやスマートフォンなどの操作画面を盗み見て、IDやパスワードを窃取する方法です。被害者の肩越しに画面をのぞく様子から、「ショルダーハッキング」と呼ばれることもあります。

古典的な手法ともいえますが、画面に夢中になっているとのぞき見に気付きにくく、かつ痕跡が残らないため発覚が遅れる傾向があります。端末の液晶画面にのぞき見を防止するフィルターを貼ったり、電車内やカフェなど不特定多数の目にさらされる危険がある場所での作業を避けたりする対策が必要です。

ごみ箱からの不正入手

ごみ箱をあさり、捨てられている資料や名刺、USBメモリなどから不正に情報を得る手法も、ソーシャルエンジニアリングの一種です。この手法は、トラッシングと呼ばれることもあります。

攻撃の対象にされやすいのは、オフィスに設置されたごみ箱の中の書類や、廃棄した電子機器などです。個人情報や機密情報、取引先のデータなどを含む書類は必ずシュレッダーにかけてから処分すること、電子機器内のデータは、復元できないよう完全に削除してから廃棄処分することを全社ルールとして遵守しましょう。電子機器については、二度と使わないようであれば、データを読み取れないように物理的に破壊して捨てる方法も検討してください。

フィッシング

フィッシングは、偽のメールを送ったり、偽のWebサイトを作ったりして被害者を信頼させ、重要な情報をだまし取る手法です。例えば、銀行のネットバンキングのWebサイトとそっくりなWebサイトを作成してユーザーにIDとパスワードを入力させたり、メールで不正なURLにアクセスさせたりして、情報を窃取します。

フィッシングは情報通信技術を利用した方法であるため、セキュリティツールでの対策が有効です。併せて、たとえ取引先や顧客を名乗る電話やメールであっても、URLなどを安易にクリックしないといった基本的な対策を組織内で徹底しましょう。

スピアフィッシング

不特定多数をターゲットにする一般的なフィッシングに対して、特定のターゲットを攻撃するスピアフィッシングと呼ばれる攻撃手法もあります。スピアフィッシングは、手口を変えながら1件のターゲットを狙い撃ちする攻撃手法で、ターゲットが信用しそうな相手を装ってやりとりを行うため、ターゲットの調査に時間をかければ成功率を高めることが可能です。

スピアフィッシングへの対策として、不審な送り主からのメールは社内のシステムで弾くように設定することが重要です。また、たとえ知っている相手が差出人となっているメールであっても、心当たりがない内容であれば対応しないように従業員に周知しましょう。

併せて読みたい

スミッシング

スマートフォンのSMSを使って行われるフィッシングもあり、そのような手口は特にスミッシングと呼ばれます。スミッシングの手口には、配送業者を名乗って偽の再配達申請用URLをタップさせたり、当選通知を出して重要情報を聞き出すフォームに誘導したりするといった手口があります。他にも、携帯電話会社からの料金未納を警告する通知を偽装して、個人情報などを入力させる手口も珍しくありません。

頻繁にECサイトを利用しているケースなどでは、スミッシングによるSMSの文面を信じてしまう可能性があります。大手の配送業者や携帯電話会社などからのSMSであっても、冷静に文面を見直して、該当する事実があるかを確認することが重要です。

テールゲーティング

テールゲーティングとは、正式な許可を得た人が重要情報を保管しているエリアに入る際、許可のない人がこっそり侵入して情報を盗み取る手法です。

テールゲーティングでは、侵入が制限されたエリアや建物に向かう人に隠れてついていき、相手がロックを解除した隙に侵入したり、相手の入場時にすぐ後ろについて自分も入場したりします。物理的な侵入のほか、対象者がネットワークやアカウントにログインしたまま席を離れるのを待って情報を盗む侵入方法もあります。

物理的な侵入を防ぐには、一度に1人しか通過できない回転式改札や監視カメラの導入などが有効です。また、従業員教育で、席を離れる際は必ずネットワークやアカウントからログアウトするように周知しましょう。

スケアウェア

スケアウェアは、相手の恐怖心や焦燥感をあおるメッセージを発信し、金銭や個人情報を奪い取る手法です。

例えば、スケアウェアが仕込まれたWebサイトにアクセスすると、パソコン上に「あなたのコンピューターはウイルスに感染しています!」「セキュリティトラブルのため、すぐに対策しないと情報が消えてしまいます!」といった警告文が出て、有害なソフトウェアをダウンロードするよう誘導します。また、ありもしない犯罪をでっちあげ、「適切な対応をとらないと刑を執行する」といった文章で脅すケースもあります。言われるがままソフトウェアをダウンロードすると、情報漏洩などが発生しかねません。

スケアウェアはあたかもウイルス感染がリアルタイムで進行しているように見せかけたり、警察などの公的機関を名乗ったりして相手をだまします。突然表示された警告は偽物と疑って、安易に反応しないことが重要です。

ソーシャルエンジニアリングで用いられるメッセージの特徴

のぞき見やごみ箱からの不正入手、テールゲーティングを除く、電話やメッセージを用いたソーシャルエンジニアリングには文面などに特徴があります。簡単にだまされないために、下記のような傾向があることを知っておきましょう。

信頼できる相手を装っている

ソーシャルエンジニアリングで用いられるメッセージなどには、被害者に信頼してもらいやすい相手を装っているといった特徴があります。例えば、警察や裁判所などの公的機関、銀行、取引先、同僚、情報システム担当者などを装っているケースがあります。「この件に関して、この機関が嘘をつくはずがない」「何度もやりとりしているこの人が言うなら問題ない」といった印象を与え、警戒心を解かせて無防備にしようとするのがソーシャルエンジニアリングの手口です。

心当たりのない連絡は無視することを徹底し、心当たりがある内容だった場合も、連絡をとっている相手が本当に公的機関や取引先などなのかを確認してから行動するようにしましょう。

恐怖感や不安感をあおる

メッセージなどを用いたソーシャルエンジニアリングでは、恐怖感や不安感をあおって、冷静に物事を判断できなくなるように仕向ける文面が使用されます。相手に危機感を持たせるために使われる代表的な文言としては、下記のような例が挙げられます。

危機感を持たせるために使われる代表的な文言
  • 至急ご確認ください
  • アカウントが不正利用されています
  • クレジット決済が承認されていません
  • お客様のコンピューターはウイルスに感染しています

こうした文言が表示されると、焦燥に駆られて、真偽を確認せずに攻撃者に従ってしまう人も少なくありません。メッセージに従ってクリックしたURLからウイルスに感染したり、アカウント情報を窃取されたりする可能性があるため、状況が切迫していることをアピールするメッセージには特に注意してください。

欲望や好奇心を刺激する

マイナスの感情を喚起する以外に、利益があることを示唆して欲望に訴えかけたり、好奇心を刺激したりして誘いをかけるのも、ソーシャルエンジニアリングの特徴の1つです。個人を対象とした攻撃では、報酬を提示してアンケートへの入力を求めたり、抽選への当選をかたるメッセージでURLをクリックさせたりすることを試みます。

「欲しい」「知りたい」といった感情が判断力を鈍らせることは珍しくありません。普段は冷静な人でもだまされるケースもあり得ます。唐突に利益を提示してくるメッセージが届いた場合は、ソーシャルエンジニアリングを疑うことが重要です。

ソーシャルエンジニアリングで発生する被害

デジタル化が進み、Web経由で多様なサービスが提供されている昨今では、ソーシャルエンジニアリングによる攻撃を受けると様々な被害が生じます。

ソーシャルエンジニアリングによる被害の代表例は、ID・パスワードが盗み出されて不正ログインを許し、社内で管理していた機密情報や個人情報が盗まれることです。自社の競争力の源泉となる情報が失われるだけでなく、取引先や顧客からの信頼も失墜し、経営に深い傷跡を残す可能性があります。

また、オンラインバンキングやクレジットカード情報の窃取などを許すと、不正ログインや不正使用による金銭的な被害も発生しかねません。

併せて読みたい

ソーシャルエンジニアリングの対策

人間心理を巧みに利用したソーシャルエンジニアリングによる攻撃から情報資産を守るには、どのような対策をとれば良いのでしょうか。主な対策としては、下記の3点が挙げられます。

重要情報を扱うルールを決める

ソーシャルエンジニアリングの対策として有効なのは、重要情報を扱うルールを策定し、実行することです。例えば、下記のようなルールを取り決めておくことをお勧めします。

ソーシャルエンジニアリング対策として効果的なルール
  • 個人情報や機密情報を聞き出そうとする質問があった場合、回答を保留して関係部署に確認する
  • 職場以外でパソコンやスマートフォンを使うときは、個人情報や機密情報にアクセスしない
  • 端末から離れる場合は必ずロックをかける
  • 個人情報や機密情報を記録した紙はシュレッダーにかける
  • メールの差出人を確認し、知っている人であっても心当たりのない内容であれば、届いたメールへの返信以外の方法で、差出人となっている人に届いたメールと一致する事実があるか確認をとる

重要なのは、ルールを決めるだけでなく、従業員一人ひとりに周知して実行させるということです。言葉で伝えるだけでなく、ソーシャルエンジニアリングに関する社内研修などによって、自分が被害に遭う可能性があること、だまされた場合には企業の信用失墜などの被害も出かねないことを実感してもらいましょう。

不正ログインを防ぐ仕組みを導入する

ソーシャルエンジニアリングによってID・パスワードなどのアカウント情報を盗まれた場合でも、不正ログインを防ぐ仕組みを導入していれば、被害を未然に防ぐことが可能です。ログインシステムが、ID・パスワードのみで認証する簡単な仕組みだと、ID・パスワードが漏洩しただけで不正ログインを許してしまいます。

例えば、多要素認証を導入するなどして、不正ログインを回避しましょう。多要素認証とは、下記のような認証の3要素と呼ばれる知識情報、所持情報、生体情報のうち、2つ以上を組み合わせて認証する方法です。

認証の3要素
名称 内容
知識情報 認証される人だけが知っているはずの認証情報。ID・パスワードのほか暗証番号、秘密の質問の答え、スマートフォンのロック画面のパスコードなど
所持情報 認証される人が所持している物に紐付いた認証情報。マイナンバーカード、スマートフォンなどの端末に入っている会員証、ワンタイムパスワードなど
生体情報 認証される人の身体的な特徴に紐付いた認証情報。顔認証、指紋認証など

セキュリティ対策ソフトやIDS・IPSを導入する

ソーシャルエンジニアリングは人の感情を利用する攻撃手法ですが、盗まれた情報を使った不正ログインやマルウェアによる攻撃などはセキュリティ対策ソフトやIDS・IPSなどでも防ぐことができます。

ソーシャルエンジニアリングによるウイルス感染を狙った攻撃には、ウイルス対策機能を持ったセキュリティ対策ソフトが有効です。また、ネットワークを監視して不正侵入を検知し、アクセスを遮断するIDS・IPSを導入していれば、アカウント情報が盗まれた場合にも社内ネットワークへのアクセスを防げます。

従業員のセキュリティ意識を高めて簡単には攻撃されない状態を作ると共に、高度で強力なセキュリティ対策製品を導入するのがお勧めです。

ソーシャルエンジニアリングの特徴を知って、情報資産を守ろう

ソーシャルエンジニアリングは、人間の心理を利用して重要な情報資産を狙う攻撃手法です。ソーシャルエンジニアリングの特徴を社内で共有し、重要な情報資産を攻撃者の手から守りましょう。

ソーシャルエンジニアリング対策では、従業員のセキュリティ意識の向上といった基本的な対策のほか、万が一情報が盗まれても不正アクセスを防げるよう情報漏洩対策ツールを導入することも有効です。インターコムが提供する情報漏洩対策・IT資産管理ツール「MaLion」シリーズは、社内のパソコンやUSBメモリなどのIT資産に関する情報を収集し、Webアップロード監視機能、ファイルアクセス監視・制限機能などで重要なデータの流出を監視・制御して情報漏洩を防ぎます。万全なソーシャルエンジニアリング対策のため、ぜひ導入をご検討ください。

「MaLion」シリーズのラインアップ
クラウド版 オンプレミス版
MaLionCloud
MaLion 7

関連記事

▲