誰もが、「自分は詐欺に引っかかることはない」と思っていることでしょう。ソーシャルエンジニアリング攻撃は、ハッカーや悪意のある第三者、データ窃盗犯がセキュリティを突破し、機密情報や個人情報を盗むために用いる強力なテクニックの組み合わせです。その罠にはまらないように、ソーシャルエンジニアリング攻撃の仕組みや事例、対策方法について学びましょう。
ソーシャルエンジニアリングとは、情報通信技術を使わずに、ネットワークに侵入するために必要なパスワードやIDなどの重要な情報を盗み出すサイバー攻撃の手口です。ソーシャルエンジニアリングにはさまざまな種類がありますが、不注意や心の弱さなど、人間の心理的な隙や行動のミスを利用する手法が多いです。ソーシャルエンジニアリングは、ソーシャルハッキングやソーシャルクラッキングとも言われることがあります。
ソーシャルエンジニアリング攻撃は、社会心理学者ロバート・チャルディーニが主張する以下の6つの人間の脆弱性を利用しています。
ソーシャルエンジニアリングの手口には、さまざまな種類があります。それぞれ方法が異なるため、ターゲット、目的、仕組みを理解することが重要です。基本的な手口を理解しておけば、ソーシャルエンジニアリング攻撃を簡単に見抜くことができるようになります。
ビッシングとはフィッシングの一種で、信頼できるもしくは名の知られた組織や企業と偽り、昔ながらの手段である電話を使って情報を盗み出す手口です。ハッカーは、身元を隠すために、録音済みの音声メッセージやテキストメッセージ、音声とテキストを合成する装置などを使用することがあります。また、より巧妙な攻撃を行うために、詐欺専用のコールセンターの人材を利用することもあります。
ハッカーはターゲットに、「銀行口座に不審な動きがある」「税金の支払いに過不足がある」「コンテストの賞金を獲得した」など、説得力のある口実を使います。手法や口実に関わらず、ハッカーの最大の目的は、ターゲットの機密情報を取得し、それを他の攻撃や個人情報の窃盗に利用することです。
かかってきた電話が、ハッカーからのものかを判断するには、以下のことを確認しましょう。
ショルダーハッキングとは、物理的な覗き見によってIDやパスワードなどの重要な情報を盗み出す手法です。「ショルダーサーフィン」とも呼ばれています。ハッカーは、ターゲットの背後からキーボード入力の手の動きを見たり、ディスプレイ画面を覗き見たりして、IDやパスワードなどの重要な情報を抜き出します。この手口は、オフィスや、カフェ、コワーキングスペースなどの公共の場で行われるケースが多いです。
トラッシングとは、「Trash」という英語の意味通り、ゴミ箱を漁ることで捨てられた資料(紙や記憶媒体)を手に入れて、サーバーやルーターの設定情報、ネットワーク構成図、IPアドレスのリスト、ユーザー名やパスワードなどの情報を探して盗み出す手法です。外部からネットワークに侵入する際の情報収集として行われるケースが多いです。
フィッシングとは、ソーシャルエンジニアリングの中で最も古く、サイバー犯罪者が電子メールを使って他人になりすます手法です。銀行や政府、配送業者など、誰もが信頼する組織や企業を装ったり、ユーザーのメールやSNSのアカウントに侵入して友人に偽のメールを送ったりして攻撃を仕掛けます。
彼らの目的は、ターゲットにフィッシングメールを開かせて、マルウェアを隠した添付ファイルをダウンロードさせたり、偽のリンクをクリックさせたりことです。その際、ログイン情報やマイナンバーカードの数字、銀行カード番号などの機密情報をだまし取ります。一度端末がマルウェアに感染すると、最悪の場合、その端末に登録されている人に同じメッセージを拡散してしまいます。
フィッシングにはさまざまな形態があり、多様な手法が用いられます。最も一般的なものは以下の通りです。
スピアフィッシングは、他の手口に比べてより多くの労力を必要とするものの、より成功率が高いフィッシングの一種です。通常フィッシングメールは何千人もの人に送られますが、スピアフィッシングは個人や小さなグループをターゲットにして、その人たちが信頼している人や、仕事に関係する特定の人物になりすまします。
このソーシャルエンジニアリング攻撃を成功させるためには、ハッカーは被害者についてある程度調査し、その情報を利用する必要があります。ソーシャルメディアは、この攻撃を仕掛けるためによく利用されます。ハッカーはSNSから、メールアドレス、フォローしているブランド、友人など、ターゲットに関するほぼすべての情報を収集できます。調査が終わると、ハッカーはターゲットにメールを送り、より多くの情報を得るためにあらゆる交渉を試みます。
たとえば個人レベルでは、ハッカーはあなたの親友のふりをして、Facebookアカウントへのアクセスを求めることがあります。また、ビジネスレベルでは、ターゲットが勤める会社のCEOを装い、新しいプロジェクトのための資金をすぐに送金するように要求することもあります。
スピアフィッシングは、見分けるのが難しいですが、不可能ではありません。自分を守るためには以下のことを心がけましょう。
プリテキスティングとは、ソーシャルエンジニアリング攻撃の一種で、身分を詐称して特定の情報を入手する手口です。フィッシングと似た部分があるため比較されることもありますが、厳密には異なります。
ハッカーがプリテキスティングを仕掛けるには、他のソーシャルエンジニアリング攻撃よりも多くの調査が必要になります。ハッカーは、あなたの友人や同僚のふりをして、単に嘘をつくだけではなく、偽の人物像や製品イメージ、業界用語まで含めて、あなたを騙すためのシナリオを事前に用意しています。ハッカーたちは、一度の攻撃で終わらせないように、次々と攻撃を仕掛けてきます
このようなハッカーは、ターゲットを完璧に騙すべくかなりの調査と努力をしているため、見分けるのはとても難しいです。しかし、とても親しげに、誰にも教えてはいけないデータを聞いてくるような人がいたら、聞いてくる理由を問い詰めてみましょう。
バイティングとは、サイバー犯罪者が偽の約束で被害者を誘い出し、個人情報や金銭情報を盗んだり、システムにマルウェアを侵入させたりする手法です。最も一般的なバイティングは、物理的な媒体を用いてマルウェアを拡散させるものです。
たとえば、サイバー犯罪者はUSBに「役員報酬 2022 Q3」といったラベルを貼って、オフィスや駐車場に放置します。それを見つけた人は、好奇心に駆られてパソコンでデータを見ようとしてしまうかもしれません。もしUSBをパソコンに差し込んでしまった場合、USBの中に潜んでいるマルウェアが、あっという間にパソコンに広がってしまいます。また、オンライン上では、悪意のあるサイトへの誘導や、マルウェアに感染したアプリのダウンロードを促す広告の表示などが行われることがあります。
テールゲーティングは、「共連れ」とも呼ばれており、制限された建物やエリアに入る許可を持つ人に隠れて着いて行き、目的の場所に侵入するという手法です。テールゲーティングは、セキュリティ意識を低下させたり、事件が発生した際の事後検証を困難にさせたりします。
キャットフィッシングとは、ハッカーが他人の写真や動画、さらには個人情報を利用して、ソーシャルメディア上に偽のプロフィールを作成するという手法です。このような偽のプロフィールは、通常、いじめや注目を集めるために使用されます。場合によっては、金銭や個人情報を奪うために使われることもあります。ここで盗んだ個人情報は、後に別の攻撃で使われる可能性もあります。
もし、あなたがネット上で誰かと友達になった場合、その人が親切であるにも関わらず、実際に会わないようにする言い訳や、自分の情報を共有しないようにする言い訳をしていたら、キャットフィッシュである可能性が高いです。以下に、いくつかの注意すべきサインをご紹介します。
スケアウェアとは、ソーシャルエンジニアリング攻撃の手法のうち、ユーザーの恐怖心を煽ることで攻撃の精度を高める手法の総称です。たとえば、違法なコンテンツにアクセスしたように見せかけたり、ウイルスに感染しているかのような偽の警告を表示させたりすることで、ターゲットを動揺させ、重要な情報を盗み出すケースが挙げられます。
ラテン語の言葉「Quid pro quo」は、日本語では「見返り」や「代償」と訳されます。その言葉の意味から想像できるように、Quid pro quoとは、ハッカーがターゲットの個人情報と引き換えにサービスを提供する手法です。数年前に、「ナイジェリアの王子が亡くなったので、全財産をあなたが相続することになった」という内容のメールがQuid pro quoの主流な攻撃方法となっていました。このような攻撃は、今となっては面白おかしく話されていますが、Quid pro quo自体は現在も健在です。
最近の最も一般的な攻撃は、ハッカーがITサポートの専門家を装うものです。ターゲットは通常、機器に問題があったり、ソフトウェアのアップデートが必要だったりするので、電話をかけてきたハッカーを疑うことはありません。ハッカーはターゲットに、問題を解決するためにコンピュータにアクセスする許可を求めます。ハッカーはターゲットのコンピュータのアクセス権を得ると、悪意のあるソフトウェアをインストールしたり、機密情報を盗んだりします。
ここからは、ソーシャルエンジニアリング攻撃がなぜ危険なのか解説します。
ここからは、ソーシャルエンジニアリング攻撃から身を守るための対策を紹介します。以下の方法を見て、参考にしてみてください。