この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
ソーシャルエンジニアリングとは?手口や被害の事例、対策について解説
ソーシャルエンジニアリングとは、古くから使われるサイバー攻撃の一つで、なんらかの手段により認証情報などを盗み取る方法のことです。取引先などの関係者になりすまし、情報を盗み取る方法が一般的ですが、他にもさまざまな手口が利用されています。
この記事では、ソーシャルエンジニアリングの概要や主な手口と被害事例、対策について詳しく解説します。ソーシャルエンジニアリングについて知りたい方、被害を防ぎたい方は、ぜひ参考にしてください。
目次
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、ログイン情報や個人情報などを盗み取る手法のことです。例えば、システム担当者や取引先などの関係者になりすましたり、デバイスの画面を盗み見たりして、ユーザーから情報の盗聴を行います。
ここからは、ソーシャルエンジニアリングの歴史と被害リスクについて詳しく解説します。
ソーシャルエンジニアリングの歴史
ソーシャルエンジニアリングは1990年代以降にサイバー攻撃の代表的な手段となった古くからある手法です。1990年代は企業内サーバーの接続を目的に、固定電話のダイヤルをユーザーから聞き出すケースが多くありました。近年でも、ソーシャルエンジニアリングはサイバー攻撃の手口として利用されていますが、攻撃手法や情報を盗み取るステップが、高度化・複雑化しています。
ソーシャルエンジニアリングによる被害リスク
ソーシャルエンジニアリングによる主な被害リスクは、以下の通りです。
- 金銭を取られる
- 個人情報や機密データの漏洩
- 企業の信頼やブランドイメージの低下
ネットバンキングやクレジットカードの情報を盗まれれば、金銭的な被害を受けます。IDやパスワードなどの認証情報が盗まれログインされた場合、個人・機密データの流出にもつながります。近年は情報の取り扱いに関する世間の関心が高く、万が一個人・機密データが漏洩すれば、企業の信頼やブランドイメージが低下するでしょう。
被害を最小限に抑えるためには、情報が流出した際の素早い対応が重要です。
情報漏洩監視ツール「ダークウェブアイ」を利用すれば、情報漏洩の早期発見による迅速な対応で、リスクを最小化することが可能です。
ソーシャルエンジニアリングを行う攻撃者の特徴
ソーシャルエンジニアリングを行う攻撃者の特徴は以下の通りです。
- 緊急性などをアピールして危機感を持たせる
- 取引先など信頼できる相手を装う
- 信頼性の高そうな理由をでっち上げる
- 大胆な行動や言動をする
ここからは、上記それぞれの特徴について順に解説します。
緊急性などをアピールして危機感を持たせる
ソーシャルエンジニアリングを行う攻撃者は、緊急性などをアピールして危機感を持たせるケースが見受けられます。具体的には、「重要」「緊急」「不正利用」といったキーワードを利用し、ユーザーの冷静さを失わせて情報を盗み取ろうとしています。
取引先など信頼できる相手を装う
取引先などの信頼できる相手を装う方法も、ソーシャルエンジニアリングでよく利用される手法です。近年では、取引先以外に企業名を悪用するケースもあるため、注意が必要です。例えば、クレジットカード会社、Amazon、税務署などが挙げられます。
信頼性の高そうな理由をでっち上げる
信頼性の高そうな理由をでっち上げる攻撃者も存在します。「クレジットカードのサポート担当者ですが、怪しい取引が発見されました。確認のためにIDとパスワードを教えてください」など、もっともらしい理由でターゲットを信用させ、情報を引き出すのが目的です。
大胆な行動や言動をする
ターゲットを騙すために、大胆な行動や言動を取る攻撃者も少なくありません。企業内できょろきょろしている人や、電話の口調がたどたどしい場合、怪しいと感じる方は多いでしょう。一方で、清掃員などを装い企業に侵入しても、堂々としていれば注目する方は多くありません。
ソーシャルエンジニアリングの主な手口
ソーシャルエンジニアリングには複数の手口があります。ここからは、ソーシャルエンジニアリングで活用されている以下の手口について詳しく解説します。
- 関係者になりすます
- ショルダーハッキング
- トラッシング
- スピアフィッシング攻撃
- スパイウェア
- リバース・ソーシャル・エンジニアリング
- スケアウェア
- SNSの悪用
関係者になりすます
ソーシャルエンジニアリングでもっとも活用されている手口は「なりすまし」です。verizonが調査・発表したデータでも、なりすましが攻撃手法の40%を占め、最も利用されている手口となっています。
参照:2024年度データ漏洩/侵害調査報告書|verizon
単純な手法ですが、取引先や友人・知人を名乗る人からの連絡に対して、個人情報や認証情報を伝えてしまう方が後を絶ちません。関係者であってもすぐには信用せず、本人か確認しましょう。
ショルダーハッキング
ショルダーハッキングは、背後からパソコンやスマートフォンなどの画面を覗き見て、認証情報や個人情報を盗み取る手口です。肩ごしに盗み見る様子から名づけられました。痕跡が残らず、特別なツールや準備も必要ありません。電車やカフェなど、社外でパソコンやスマートフォンを利用する際は、注意が必要です。
トラッシング
トラッシングとは、ゴミ箱の中から個人情報や機密情報が書かれた資料・メモなどを拾い、不正利用する手口のことです。営業リストや顧客の機密情報が記載された資料を捨てる際は、シュレッダーなどを利用し内容がわからないようにする必要があります。また、USBなどの記憶媒体を廃棄する際にも、データを完全削除しましょう。
スピアフィッシング攻撃
フィッシング詐欺とは、正規のサービス事業者を装ったメールを送り、偽サイトから個人情報の入手・不正利用する犯罪のことです。従来は、不特定多数を対象にしたフィッシングが一般的でしたが、スピアフィッシング攻撃は、特定の対象に狙いを絞り行うフィッシングです。ターゲットに応じたメール内容になっているため、高い成功率が特徴です。
⇒フィッシング詐欺とは?5つの対策や被害にあった場合の対処法を解説
スパイウェア
スパイウェアとは、コンピューターの内部に不正侵入し、ユーザーが気づかないうちに情報を外部に送信するプログラムのことです。メールに添付されたファイルのダウンロードや、不審なURLのクリックなどがスパイウェア感染の主な経路です。
リバース・ソーシャル・エンジニアリング
リバース・ソーシャル・エンジニアリングは、ユーザーから攻撃者へ連絡をさせるように誘導する手口です。例えば、パスワード変更の要求やサポート窓口の変更通知をユーザーに送信し、ユーザーからの連絡を要求します。
スケアウェア
スケアウェアとは、ユーザーを不当に怖がらせることで、有料のソフトウェアを購入させる手口のことです。デバイスの画面上に「ウイルスに感染しました」「セキュリティに問題があります」などの警告を表示し、ユーザーの危機感を煽り購入に誘導します。中には、悪意あるソフトウェアをダウンロードさせ、情報を抜き取るケースもあります。
SNSの悪用
近年はSNSを悪用し、情報を盗み取ろうとする攻撃者も存在します。SNSで特定の人物になりすまし、ターゲットと時間をかけて信頼関係を構築した後に情報を盗み取ります。即効性はないものの、ターゲットに警戒心を抱かせないため、騙されたと気づかれにくい点が特徴です。
ソーシャルエンジニアリングの被害事例
ソーシャルエンジニアリングで被害を受けた方は少なくありません。ここからは、被害事例について詳しく解説します。
情報の漏えい
2015年に、年金機構から基礎年金番号と氏名の計約125万件が流出する事件が起きました。このうち約116万7千件に生年月日、約5万2千件には住所と生年月日が含まれていました。原因は、学術機関の職員を装ったメールに添付されていた、セミナーの案内状と称したウイルスつき文書ファイルです。
参照:年金機構125万件流出 職員、ウイルスメール開封|日本経済新聞
仮想通貨の流出
ある仮想通貨取引所において、過去に仮想通貨が流出する事件がありました。攻撃者は、犯行の半年ほど前からSNS経由でシステム権限を持つエンジニアと接触を図っていました。十分な信頼関係を構築した後に、スパイウェアが添付されたメールを送信したのです。その結果、担当者のパソコンがウイルス感染し、仮想通貨が流出しました。
個人情報の流出
ある県立病院では、医者を名乗る者から研修医の個人情報を訊ねる電話を受けました。電話対応に応じた事務員が、研修医の氏名と電話番号を教えてしまい、個人情報の流出につながりました。
ソーシャルエンジニアリングへの対策
ソーシャルエンジニアリングへの主な対策は以下の通りです。
- あわてず冷静に対処する
- 不審なファイルやURLは開かない
- 個人・機密情報を扱うルールを作成して徹底する
- 不正ログインの対策を行う
- セキュリティソフトを導入する
順に解説していきます。
あわてず冷静に対処する
緊急性などのアピールは、ソーシャルエンジニアリングにおいてよく使われる手口です。早急な対応を求められたとしても、慌てず冷静に対応しましょう。情報を要求するメールを受信した場合は、アドレスやメッセージ内容に不審な点がないか、必ず確認してください。
不審なファイルやURLは開かない
メールに添付されたファイルや記載されたURLは、ウイルス感染の主な経路です。身に覚えのないものや不審なメールに添付されたファイルはダウンロードせず、URLのクリックも避けましょう。また、後日間違えてダウンロードなどをしないために、メールは即時削除し迷惑メールに登録することも必要です。
個人・機密情報を扱うルールを作成して徹底する
ソーシャルエンジニアリング対策には、個人・機密情報を扱うルールの作成と徹底も欠かせません。従業員の思わぬ行動により、情報漏洩につながるリスクがあります。具体的には、社外におけるデバイスの取り扱いや、機密情報が記載された書類の廃棄方法に関するルールなどを定め、従業員に周知しましょう。
不正ログインの対策を行う
多要素認証の導入など、不正ログイン対策の実施もソーシャルエンジニアリング対策に有効です。多要素認証を導入すれば、IDやパスワードなどの認証情報が流出しても、不正ログインを防止できます。
セキュリティソフトを導入する
セキュリティソフトの導入は、ソーシャルエンジニアリングを含めサイバー攻撃の防止に有効な対策です。近年は、不審なサイトのブロックやウイルスの検知と駆除など、多くのセキュリティソフトが開発・提供されています。
まとめ
ソーシャルエンジニアリングとは、古くから使われるサイバー攻撃の一つで、なんらかの手段により認証情報などを盗み取る方法のことです。関係者へのなりすましや、悪意あるソフトウェアをダウンロードさせて情報を抜き取る等、複数の手法があります。
ソーシャルエンジニアリングの手口が高度化・巧妙化しているため、情報漏洩を未然に100%防止することはできません。被害を抑えるためには情報漏洩などをすぐに検知する体制の構築が重要です。
情報漏洩監視ツール「ダークウェブアイ」は、会社のドメイン情報を入れるだけで「いつ」「どこから」「どんな情報が」漏れてしまったのか、一瞬で分かります。
自社のアカウント情報が漏洩していないか不安な方は、まず自社の漏洩状況を確認してみてはいかがでしょうか?
⇒メールアドレスを入れるだけ!自社の漏洩状況をチェック
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...