ソーシャルエンジニアリング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ソーシャルエンジニアリング
             

ソーシャルエンジニアリング

ソーシャルエンジニアリング(Social Engineering) とは、人間心理の隙を利用して、機密情報や個人情報を盗み出したり、不正行為を行わせたりする攻撃手法のことです。技術的な手段ではなく、標的の信頼や親しみ、恐怖心などを巧みに利用することが特徴です。ソーシャルエンジニアリングの目的は、システムやネットワークへの直接的な攻撃を行うのではなく、人間を「脆弱性」として利用し、情報を引き出したり、不正アクセスを成立させたりすることです。

ソーシャルエンジニアリングの主な手法

1. フィッシング(Phishing)

メールやSNSメッセージなどを利用し、ユーザーが信頼する相手になりすまして、パスワードやクレジットカード番号などの個人情報を入力させる手法です。多くの場合、偽のWebサイトに誘導し、そこに情報を入力させます。

2. スピアフィッシング(Spear Phishing)

フィッシングの一種で、特定のターゲットに焦点を絞り、個人名や所属を把握した上で行う攻撃手法です。企業の従業員や個人情報をターゲットに、カスタマイズされたメールを送るため、信憑性が高く、ターゲットが引っかかりやすいという特徴があります。

3. プレテキスティング(Pretexting)

攻撃者が役員や社内の従業員、取引先などになりすまし、電話やメールでターゲットと接触して情報を引き出す手法です。たとえば、ITサポートを装ってユーザーにパスワードやセキュリティコードを尋ねたりします。

4. ベイティング(Baiting)

ユーザーの興味を引くエサ(例えば「無料プレゼント」や「景品」)を利用して、ターゲットにマルウェアをダウンロードさせたり、不正なWebサイトにアクセスさせる手法です。USBメモリなどを落とし物として故意に配置し、拾った人がそれをパソコンに接続すると感染するような手口も含まれます。

5. テールゲーティング(Tailgating)

物理的な侵入方法で、ターゲットの建物やオフィスに、正規の従業員になりすまして入り込む方法です。たとえば、従業員に近づき、「忘れ物を取りに来た」などと信頼させ、オフィス内に侵入します。

6. ショルダーサーフィン(Shoulder Surfing)

ターゲットの近くで直接観察し、画面に映ったパスワードやPINコードを盗み見る手法です。ATMやオフィスのパソコンなどで、直接見られないように注意が必要です。

ソーシャルエンジニアリングの特徴とターゲット

ソーシャルエンジニアリングの主な特徴は、「人の信頼感や好奇心、不安感」を利用して情報を得る点にあります。一般的に、以下のようなターゲットが狙われることが多いです。

  • 新入社員やアルバイト:社内システムやセキュリティ意識がまだ不十分なため、情報が引き出されやすい。
  • システム管理者やITサポート:社内システムの管理権限を持つため、直接狙われることで、システム全体が危険にさらされる可能性があります。
  • 一般のインターネットユーザー:個人情報やクレジットカード情報を盗み、不正利用されるリスクが高い。

ソーシャルエンジニアリングの対策

1. セキュリティ教育とトレーニング

ソーシャルエンジニアリングの手口や攻撃手法について、従業員が理解することが重要です。特に、フィッシングメールや不審な電話の見分け方を学ぶための教育や模擬訓練を定期的に行います。

2. 多要素認証(MFA)の導入

パスワードのみでの認証よりも、複数の認証要素(ワンタイムパスワード、指紋認証など)を組み合わせることで、たとえパスワードが漏えいした場合でも不正アクセスを防止します。

3. セキュリティポリシーの徹底

組織内のセキュリティポリシーを明確にし、物理的なアクセス管理や情報の取り扱いに関するルールを周知徹底することが重要です。また、不要なデータや個人情報を常にロックしたり、安全な方法で破棄したりするようにします。

4. メールフィルタリングとリンク確認

不審なリンクや添付ファイルを含むメールをブロックするメールフィルタリングの導入は有効です。また、メール内のリンクが公式のドメインであるかを確認する習慣を徹底させます。

5. リモートワークや外部アクセス時の対策

リモートワーク時には、VPNやセキュアなリモートアクセスツールを利用し、情報漏えいや盗聴のリスクを低減します。また、公共の場で作業する場合、周囲に不審者がいないか確認し、画面を見られないように注意します。

ソーシャルエンジニアリングの事例

1. 有名企業の役員になりすまし、情報を取得する

攻撃者が社内の役員になりすまし、新入社員やサポートスタッフに対して情報を提供させるよう促すケースがあります。「急ぎの案件で情報が必要」などと言い、不審を抱かせない手法で機密情報を引き出します。

2. 偽のITサポートを装った電話

ある企業で、攻撃者がITサポート部門を装って従業員に連絡し、システムの「セキュリティチェック」と称して従業員にパスワードを入力させたり、特定のリンクをクリックさせたりするケースが発生しました。これにより、攻撃者が従業員のパスワードを入手し、企業システムに不正アクセスしました。

3. フィッシングメールで従業員のアカウントを乗っ取る

攻撃者がフィッシングメールを使って従業員のアカウントを乗っ取り、顧客の個人情報にアクセスした事例があります。メールにあるリンクをクリックさせ、偽のログイン画面に情報を入力させる手法が使われました。

まとめ

ソーシャルエンジニアリングは、サイバー攻撃の中でも特に人間の心理的な隙を狙った攻撃手法であり、どんなにセキュリティが強化されていても、人間の判断ミスによって攻撃が成立してしまうリスクが伴います。企業や個人は、攻撃手法について理解し、セキュリティ意識の向上を図ることが重要です。また、多要素認証やメールフィルタリングなどの技術的な対策も導入し、常に最新のセキュリティポリシーを維持することが、ソーシャルエンジニアリングに対抗するための鍵となります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。