ソーシャルエンジニアリングとは?攻撃手法、事例、対策を解説
誰もが、「自分は詐欺に引っかかることはない」と思っていることでしょう。ソーシャルエンジニアリング攻撃は、ハッカーや悪意のある第三者、データ窃盗犯がセキュリティを突破し、機密情報や個人情報を盗むために用いる強力なテクニックの組み合わせです。その罠にはまらないように、ソーシャルエンジニアリング攻撃の仕組みや事例、対策方法について学びましょう。
目次
目次
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、情報通信技術を使わずに、ネットワークに侵入するために必要なパスワードやIDなどの重要な情報を盗み出すサイバー攻撃の手口です。ソーシャルエンジニアリングにはさまざまな種類がありますが、不注意や心の弱さなど、人間の心理的な隙や行動のミスを利用する手法が多いです。ソーシャルエンジニアリングは、ソーシャルハッキングやソーシャルクラッキングとも言われることがあります。
ソーシャルエンジニアリング攻撃は、社会心理学者ロバート・チャルディーニが主張する以下の6つの人間の脆弱性を利用しています。
- 権威:サイバー犯罪者が、有名企業や組織の上司などの権威を持つ人間を装うと、ターゲットはそれを信じてしまう傾向にあります。
- 脅迫:サイバー犯罪者は、ある行動をとらないと悪い結果になることを知らせたり、暗示をかけたりすることで、ターゲットを惑わせます。
- 社会的証明:人間の「他人がやっているのを見ると自分もやりたくなる」という特性を悪用して、ソーシャルエンジニアリング攻撃を仕掛けることもあります。
- 希少性:「手に入りにくいものほど価値があると感じ、手に入れたくなる」という特性を利用することで、人を意のままに操ることができます。
- 好意:私たちは、好意を持っている人から頼まれると、簡単に承諾してしまう傾向にあります。
- 緊急性:希少性に関連して、サイバー犯罪者はソーシャルエンジニアリングのために、時間に基づく心理的原理として緊急性を利用することもあります。
ソーシャルエンジニアリングの主な事例
ソーシャルエンジニアリングの手口には、さまざまな種類があります。それぞれ方法が異なるため、ターゲット、目的、仕組みを理解することが重要です。基本的な手口を理解しておけば、ソーシャルエンジニアリング攻撃を簡単に見抜くことができるようになります。
ビッシング
ビッシングとはフィッシングの一種で、信頼できるもしくは名の知られた組織や企業と偽り、昔ながらの手段である電話を使って情報を盗み出す手口です。ハッカーは、身元を隠すために、録音済みの音声メッセージやテキストメッセージ、音声とテキストを合成する装置などを使用することがあります。また、より巧妙な攻撃を行うために、詐欺専用のコールセンターの人材を利用することもあります。
ハッカーはターゲットに、「銀行口座に不審な動きがある」「税金の支払いに過不足がある」「コンテストの賞金を獲得した」など、説得力のある口実を使います。手法や口実に関わらず、ハッカーの最大の目的は、ターゲットの機密情報を取得し、それを他の攻撃や個人情報の窃盗に利用することです。
かかってきた電話が、ハッカーからのものかを判断するには、以下のことを確認しましょう。
- 電話をかけてきた会社の名前と目的を聞くようにしましょう。その会社の名前を聞いたことがあるか、また取引をしたことがあるかを考えてください。
- 参加したことのないコンテストでの賞金がもらえたり、非現実的な額の利益が得られたりする場合は、まずは疑った方がいいでしょう。
- 電話口の相手が、攻撃的な言葉を使って個人情報の提供を迫ってきている場合は、十分に注意しましょう。
ショルダーハッキング
ショルダーハッキングとは、物理的な覗き見によってIDやパスワードなどの重要な情報を盗み出す手法です。「ショルダーサーフィン」とも呼ばれています。ハッカーは、ターゲットの背後からキーボード入力の手の動きを見たり、ディスプレイ画面を覗き見たりして、IDやパスワードなどの重要な情報を抜き出します。この手口は、オフィスや、カフェ、コワーキングスペースなどの公共の場で行われるケースが多いです。
トラッシング
トラッシングとは、「Trash」という英語の意味通り、ゴミ箱を漁ることで捨てられた資料(紙や記憶媒体)を手に入れて、サーバーやルーターの設定情報、ネットワーク構成図、IPアドレスのリスト、ユーザー名やパスワードなどの情報を探して盗み出す手法です。外部からネットワークに侵入する際の情報収集として行われるケースが多いです。
フィッシング
フィッシングとは、ソーシャルエンジニアリングの中で最も古く、サイバー犯罪者が電子メールを使って他人になりすます手法です。銀行や政府、配送業者など、誰もが信頼する組織や企業を装ったり、ユーザーのメールやSNSのアカウントに侵入して友人に偽のメールを送ったりして攻撃を仕掛けます。
彼らの目的は、ターゲットにフィッシングメールを開かせて、マルウェアを隠した添付ファイルをダウンロードさせたり、偽のリンクをクリックさせたりことです。その際、ログイン情報やマイナンバーカードの数字、銀行カード番号などの機密情報をだまし取ります。一度端末がマルウェアに感染すると、最悪の場合、その端末に登録されている人に同じメッセージを拡散してしまいます。
フィッシングにはさまざまな形態があり、多様な手法が用いられます。最も一般的なものは以下の通りです。
- 偽の送信元表示:メールの送信元名は正規の組織から送られてきたように見えますが、ドメイン名は全く異なります。たとえば、Netflixになりすましたハッカーは、「netflix@gmail.com」などと本に近い偽のメールアドレスを作成し、送信者名を「Netflix」と表示させてターゲットに送ります。メールの「送信者」の部分にカーソルを合わせたり、タップしたりすると、メールアドレスが見られるようになるので、偽のアドレスを見分けられます。
- 偽のリンク:ハッカーが、偽のリンクを本文に挿入して、ターゲットにメールを送るというフィッシングの手法もあります。ターゲットが偽のリンクをクリックすることで、ウイルスに感染したウェブサイトにアクセスする仕組みになっています。自分の身を守るための方法として、怪しいリンクを見つけた時は、右クリックをしてアドレスが信用できるものかどうかを確認しましょう。
- 添付ファイル:請求書や、注文確認書、イベントの招待状などが、ウイルスやマルウェアを感染させるために、偽の添付ファイルとして使われることがあります。怪しいと思ったら、ファイルを開いたり、送信者に返信したりしないようにしましょう。
スピアフィッシング
スピアフィッシングは、他の手口に比べてより多くの労力を必要とするものの、より成功率が高いフィッシングの一種です。通常フィッシングメールは何千人もの人に送られますが、スピアフィッシングは個人や小さなグループをターゲットにして、その人たちが信頼している人や、仕事に関係する特定の人物になりすまします。
このソーシャルエンジニアリング攻撃を成功させるためには、ハッカーは被害者についてある程度調査し、その情報を利用する必要があります。ソーシャルメディアは、この攻撃を仕掛けるためによく利用されます。ハッカーはSNSから、メールアドレス、フォローしているブランド、友人など、ターゲットに関するほぼすべての情報を収集できます。調査が終わると、ハッカーはターゲットにメールを送り、より多くの情報を得るためにあらゆる交渉を試みます。
たとえば個人レベルでは、ハッカーはあなたの親友のふりをして、Facebookアカウントへのアクセスを求めることがあります。また、ビジネスレベルでは、ターゲットが勤める会社のCEOを装い、新しいプロジェクトのための資金をすぐに送金するように要求することもあります。
スピアフィッシングは、見分けるのが難しいですが、不可能ではありません。自分を守るためには以下のことを心がけましょう。
- メールの送信元を確認する。
- 頼みごとが常識的であるかどうかを確認する。
- 何か怪しいと思ったら、メールには返信せず、相手に直接聞いてみる。
プリテキスティング(スミッシング)
プリテキスティングとは、ソーシャルエンジニアリング攻撃の一種で、身分を詐称して特定の情報を入手する手口です。フィッシングと似た部分があるため比較されることもありますが、厳密には異なります。
ハッカーがプリテキスティングを仕掛けるには、他のソーシャルエンジニアリング攻撃よりも多くの調査が必要になります。ハッカーは、あなたの友人や同僚のふりをして、単に嘘をつくだけではなく、偽の人物像や製品イメージ、業界用語まで含めて、あなたを騙すためのシナリオを事前に用意しています。ハッカーたちは、一度の攻撃で終わらせないように、次々と攻撃を仕掛けてきます
このようなハッカーは、ターゲットを完璧に騙すべくかなりの調査と努力をしているため、見分けるのはとても難しいです。しかし、とても親しげに、誰にも教えてはいけないデータを聞いてくるような人がいたら、聞いてくる理由を問い詰めてみましょう。
バイティング
バイティングとは、サイバー犯罪者が偽の約束で被害者を誘い出し、個人情報や金銭情報を盗んだり、システムにマルウェアを侵入させたりする手法です。最も一般的なバイティングは、物理的な媒体を用いてマルウェアを拡散させるものです。
たとえば、サイバー犯罪者はUSBに「役員報酬 2022 Q3」といったラベルを貼って、オフィスや駐車場に放置します。それを見つけた人は、好奇心に駆られてパソコンでデータを見ようとしてしまうかもしれません。もしUSBをパソコンに差し込んでしまった場合、USBの中に潜んでいるマルウェアが、あっという間にパソコンに広がってしまいます。また、オンライン上では、悪意のあるサイトへの誘導や、マルウェアに感染したアプリのダウンロードを促す広告の表示などが行われることがあります。
テールゲーティング
テールゲーティングは、「共連れ」とも呼ばれており、制限された建物やエリアに入る許可を持つ人に隠れて着いて行き、目的の場所に侵入するという手法です。テールゲーティングは、セキュリティ意識を低下させたり、事件が発生した際の事後検証を困難にさせたりします。
キャットフィッシング
キャットフィッシングとは、ハッカーが他人の写真や動画、さらには個人情報を利用して、ソーシャルメディア上に偽のプロフィールを作成するという手法です。このような偽のプロフィールは、通常、いじめや注目を集めるために使用されます。場合によっては、金銭や個人情報を奪うために使われることもあります。ここで盗んだ個人情報は、後に別の攻撃で使われる可能性もあります。
もし、あなたがネット上で誰かと友達になった場合、その人が親切であるにも関わらず、実際に会わないようにする言い訳や、自分の情報を共有しないようにする言い訳をしていたら、キャットフィッシュである可能性が高いです。以下に、いくつかの注意すべきサインをご紹介します。
- 同情を引くような話や寄付の依頼をしてくる。
- ビデオ通話のカメラや電話が使えないなどの言い訳をしてくる。
- 会うことを拒んだり、急用で会うことをドタキャンしたりしてくる。
- 公共の場ではなく、プライベートな場所で会おうと提案してくる。
スケアウェア
スケアウェアとは、ソーシャルエンジニアリング攻撃の手法のうち、ユーザーの恐怖心を煽ることで攻撃の精度を高める手法の総称です。たとえば、違法なコンテンツにアクセスしたように見せかけたり、ウイルスに感染しているかのような偽の警告を表示させたりすることで、ターゲットを動揺させ、重要な情報を盗み出すケースが挙げられます。
Quid pro quo
ラテン語の言葉「Quid pro quo」は、日本語では「見返り」や「代償」と訳されます。その言葉の意味から想像できるように、Quid pro quoとは、ハッカーがターゲットの個人情報と引き換えにサービスを提供する手法です。数年前に、「ナイジェリアの王子が亡くなったので、全財産をあなたが相続することになった」という内容のメールがQuid pro quoの主流な攻撃方法となっていました。このような攻撃は、今となっては面白おかしく話されていますが、Quid pro quo自体は現在も健在です。
最近の最も一般的な攻撃は、ハッカーがITサポートの専門家を装うものです。ターゲットは通常、機器に問題があったり、ソフトウェアのアップデートが必要だったりするので、電話をかけてきたハッカーを疑うことはありません。ハッカーはターゲットに、問題を解決するためにコンピュータにアクセスする許可を求めます。ハッカーはターゲットのコンピュータのアクセス権を得ると、悪意のあるソフトウェアをインストールしたり、機密情報を盗んだりします。
ソーシャルエンジニアリング攻撃が危険な理由
ここからは、ソーシャルエンジニアリング攻撃がなぜ危険なのか解説します。
- 被害にあったことが特定しにくい:ソーシャルエンジニアリングは、ウイルスやマルウェアなどの攻撃に比べると発生頻度は低いのが特徴です。しかし、不注意な人やサイバー攻撃に関する知識のない人を狙っているため、発見や駆除がとても困難です。被害を防ぐためには、個人のセキュリティ意識の向上や、オフィスでのルール化など、組織的な対策が求められます。
- 年々攻撃が巧妙になっている:ソーシャルエンジニアリング攻撃は、時代の流れやテクノロジーの進歩とともに、より高度で巧妙なものになってきています。今後は、人工知能(AI)を使ったソーシャルエンジニアリングが増えていくと言われています。
- ターゲットを絞った攻撃を仕掛けることが可能:ハッカーが、サイバー攻撃の中で最もメジャーな標的型攻撃を仕掛ける場合、ターゲットに関する情報をできるだけ多く収集する必要があります。この情報収集の際に、ソーシャルエンジニアリング攻撃を仕掛ける可能性があります。
ソーシャルエンジニアリングの対策
ここからは、ソーシャルエンジニアリング攻撃から身を守るための対策を紹介します。以下の方法を見て、参考にしてみてください。
- さまざまな種類のソーシャルエンジニアリング攻撃について学ぶ:ソーシャルエンジニアリングの手口をある程度知っていれば、ハッカーによる罠を避けることが容易になります。会社の経営者やチーム管理者は、このような攻撃についてチームに教え込む必要があります。ペネトレーションテスト(侵入テスト)は、ネットワークの脆弱性を見つけ、従業員を教育するのに最適な方法です。
- 警戒する:やり取りする相手の身元を再確認しましょう。特に、予期していなかったメール、テキスト、電話を受けた場合は要注意です。話がうますぎると思ったら、相手を疑う癖をつけましょう。
- 誤字脱字に注意する:有名な企業や団体は、メールを送る前に内容を厳重にチェックすることがほとんどです。よって、メールの文章に多くの誤字脱字やおかしな文法がある場合は、ハッカーからのものである可能性を疑いましょう。
- 質問することを恐れない:電話で騙されていると思ったら、遠慮せずに質問してみましょう。最も重要なのは、相手の話と一致しない回答があるかどうか注意することです。
- インターネット上でのマナーを守る
- オンラインで共有する情報を制限する:ネット上に、簡単にアクセスできるデータを残してしまうと、悪意のある第三者があなたに関する情報を集め、ソーシャルエンジニアリング攻撃に利用するかもしれません。
- OSやソフトを定期的にアップデートする:OSをアップデートするのはもちろんのこと、優れたウイルス対策ソフトの導入、スパムフィルターの設置など、ソフトウェアの管理にも気を配りましょう。
- VPNを利用する:VPNとは、インターネットのトラフィックを暗号化し、安全な接続を確立するための仕組みです。VPNを導入することにより、第三者があなたのオンライン活動を追跡したり、データを盗んだりすることが難しくなります。さらに、NordVPNの脅威対策Pro機能は、悪質かつ危険なウェブサイトへのアクセスを防ぎます。また、ダウンロードする前にファイルをスキャンし、マルウェアが含まれていないことを確認し、安全にダウンロードすることができます。