ソーシャルエンジニアリングとは?
信頼できる人物を装って情報を盗み出す
2023年10月17日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What is Social Engineering? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
ソーシャルエンジニアリングとは何でしょうか?
これは、データや情報へのアクセスを得るために、不正な操作を行ったり人を騙すサイバー攻撃の一種です。
ソーシャルエンジニアリングの目的は、信頼できる人物とやりとりしていると思わせることで、人々にパスワードやネットワーク情報などの機密情報を漏洩させることです。
場合によっては、ソーシャルエンジニア(ソーシャルエンジニアリングを行う者)は、気付かれないようにコンピュータにマルウェア(悪意のある目的で使用されるソフトウェア)をダウンロードさせようと試みることもあります。
ソーシャルエンジニアリングの定義
ソーシャルエンジニアリングとは、人々を操って行動させたり、機密情報を漏洩させる行為です。
これはハッキングの一種であり、ソーシャルエンジニアは、コンピュータに不正に侵入する代わりに、従業員を欺いて情報を提供させたり、マルウェアをダウンロードさせたりすることでアクセスを試みます。
ソーシャルエンジニアリングの手法:ソーシャルエンジニアリングはどのように機能するのか?
- ソーシャルエンジニアリングは、電話、メール、またはテキストメッセージを介して行われることがあります。
ソーシャルエンジニアは、会社に電話をかけて特定の場所や情報へのアクセス許可を求めたり、あるいは誰かになりすまして自分の代わりにメールアカウントを開設させたりします。 - ソーシャルエンジニアは目的を達成するためにさまざまな戦術を使用します。
例えば、会社のヘルプデスクからの電話だと称して、コンピュータやネットワーク上の何かを修正するためにリモートアクセスを求めるかもしれません。
または、銀行口座に起こった問題を解決するために、パスワードや銀行の認証情報などの個人情報が必要だと主張することもあります。 - 場合によっては、ソーシャルエンジニアは法執行機関の職員を装い、情報提供に応じない場合は法的措置を取ると脅すこともあります。
これらの脅威を真剣に受け止めることはビジネスにとって重要ですが、警察が電話をかけてきてパスワードを求めることは絶対にないということを覚えておいてください!
ソーシャルエンジニアリングの目的
ソーシャルエンジニアリングは、信頼できる送信元からのメールに見せかけて、実は個人情報を盗むことを目的としたメール、つまりフィッシング攻撃によく使われます。
これらのメールには通常、開封するとコンピュータが感染する、悪意のあるソフトウェア(一般的にマルウェアと呼ばれます)として知られる添付ファイルが含まれています。
ソーシャルエンジニアリングの目的は常に同じです――何ら努力することなく、価値のあるものへのアクセスを手に入れることです。
1. 機密情報の盗難
ソーシャルエンジニアは、相手を騙してパスワードやログイン情報(ユーザ名やメールアドレスなど)を漏洩させることで、相手のメールアカウントやソーシャルメディアのプロフィールにアクセスし、過去の取引からクレジットカード番号や銀行口座情報などの個人情報を盗み出そうとするかもしれません。
あなたは、Instagramで(商品を)販売する方法を知っているかもしれませんが、ソーシャルエンジニアからあなたの中小企業やアカウントを守るための十分な知識は持っていますか?
2. 個人情報の盗難
サイバー攻撃者は、この情報を使用して被害者の身元を推測し、すぐにそれを破棄しない場合、後でその被害者を装って悪意ある活動を行うこともできます。
サイバー攻撃者がソーシャルエンジニアリングをよく使う理由はこちらからご覧ください。
ソーシャルエンジニアリングの攻撃をどのようにして見分けるのか?
1. 直感を信じる
不審なメールや電話があった場合は、相手の身元が確認できるまで情報を提供しないでください。
会社に直接電話するか、メールを送信したと思われる人物やボイスメールにメッセージを残した人物に確認を取ってください。
2. 個人情報を提供しない
もし誰かがあなたの社会保障番号(アメリカで利用されているマイナンバーのようなID番号)やその他の個人情報を求めてきたら、それは相手があなたの信頼につけこんで、後で不利益をもたらそうとしている兆候です。
絶対に必要でない限り、いかなる情報も提供しないことをお勧めします。
3. 脈絡のない異常なリクエスト
ソーシャルエンジニアは通常、何の脈絡もなく過大な要求をします。
なぜそれが必要なのか説明せずに、金銭やその他のリソースを要求してくる人がいたら、そこには何か怪しいことが起こっている可能性が高いです。
このような大きな要求をされた時は、銀行口座へアクセスされた場合にどれだけの損害が発生するかわからないので、用心するに越したことはありません。
ソーシャルエンジニアリング攻撃を見分ける方法をいくつか紹介しましょう。
- IT部門を名乗る人物から、パスワードをリセットして、それをメールやテキストメッセージで提供するよう求めるメールを受け取る
- 銀行を名乗る人物から、個人情報、例えば口座番号やPINコードを尋ねるメールを受け取る
- 会社の人事部を名乗る人物から、会社に関する情報を尋ねられる
メールを使ったソーシャルエンジニアリング攻撃
- フィッシングメール
- これは正当な送信元からのもののように見えますが、実際には添付ファイルを開かせたり、悪意のあるWebサイトにアクセスさせたりするものです。
- スピアフィッシング
- スピアフィッシング攻撃は、フィッシングメールよりも標的が絞られており、受信者に関する情報を使用して、より信頼性を持たせてきます。
- CEO詐欺
- CEO詐欺は、CEOや高位の役員になりすまして機密情報にアクセスするためのフィッシング詐欺の一種です。
これには、銀行口座の番号、インターネット上の送金の詳細、あるいは従業員の給与情報などが含まれます。
その他のソーシャルエンジニアリング攻撃については、こちらをご覧ください。
ソーシャルエンジニアリングを防ぐ方法は?
ソーシャルエンジニアリング攻撃を防ぐ方法や、攻撃から身を守る方法についてのヒントをいくつか紹介します。
- デバイスやコンピュータに良質なウイルス対策ソフトがインストールされていることをご確認ください。
- 信頼関係にない人からの不審なメールや添付ファイルは開かないようにしてください(これには、銀行やクレジットカード会社を名乗る人物からのメールも含まれます)。
- 確実に安全だと確信できない限り、メール内のリンクをクリックしないでください。
たとえそれが知っている人からのものであっても!
メールが正当かどうか疑わしい場合は、まずインターネットで詳細を調べるのではなく、直接電話やテキストメッセージで送信者に連絡してください。 - 「あまりにも良い話」を持ちかける迷惑電話やテキストメッセージに注意してください(無料トライアルなどに登録すると無料で賞品がもらえる、などのオファーもこれに含まれます)。
- 可能な限り二要素認証を使用してください。
これは、例え誰かがあなたのパスワードを持っていても、あなたのアカウントにアクセスするためには別の情報(ワンタイムパスワードなど)が必要になるということを意味します。 - フィッシング攻撃、ソーシャルエンジニアリング、ドメインの不正使用からメールチャンネルを保護するために、DMARCのようなメール認証プロトコルを設定してください。
まとめ
ソーシャルエンジニアリングから保護することは重要です。
なぜなら、金銭やその他の個人情報を失うだけでなく、セキュリティシステムの侵害やデータ漏洩につながる可能性があるからです。
ITチームがいかにサイバー攻撃から企業を守ることに長けていても、ソーシャルエンジニアリングの方法を通じてシステムに侵入しようとする攻撃者のリスクを完全に排除することはできません。
だからこそ、フィッシングメールやその他のソーシャルエンジニアリング攻撃を見分ける方法について、従業員を教育することが非常に重要なのです。
メール認証プロトコルであるDMARCを設定されたい方は、こちらからPowerDMARCの無料トライアルをお試しください。