MailData

ソーシャルエンジニアリング攻撃から身を守るには?

ソーシャルエンジニアリング攻撃から身を守るには?

ソーシャルエンジニアリング攻撃を学ぶ

2024年3月26日
著者: Ahona Rudra
翻訳: 永 香奈子

この記事はPowerDMARCのブログ記事 How can you Protect yourself from Social Engineering Attacks? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ソーシャルエンジニアリング攻撃では、攻撃者が相手と偽の信頼関係を築くことで、データやサービスへのアクセスを得ようとします。
防御の第一歩は、警戒を怠らないことです。
攻撃者は、会話に引き込んだ上で、それを尋問のような形に変えてくる可能性があります。

しかし、ソーシャルエンジニアリングから身を守る最善の方法は、誰を信頼できるのかを知り、自身も信頼される存在であることです。
アカウントにアクセスする可能性がある、またはそれに影響を与える可能性がある人物を特定し、彼らがそれを行う妥当な理由を持っていることを確認する必要があります。

ソーシャルエンジニアリング攻撃とは何ですか?

ソーシャルエンジニアリング攻撃とは、攻撃者が信頼を悪用することで情報やアクセスを得ようとするハッキングの一形態です。
この攻撃は非常に効果的であり、相手の「人助けしたい気持ち」や「好奇心」、「無知」を利用します。
ソーシャルエンジニアは、高度な操作技術を用いて攻撃者が求めるものを手に入れるために、知らず知らずのうちに被害者を共犯者に仕立て上げることが可能です。

これはハッキングの一種ですが、コンピュータに直接侵入するのではなく、従業員をだまして情報を提供させたり、マルウェアをダウンロードさせたりすることでアクセスを得ようとします。

ソーシャルエンジニアリングの手法

ソーシャルエンジニアリング攻撃は、電話、メール、またはテキストメッセージを介して実行されることがあります。
ソーシャルエンジニアは、会社に電話をかけて制限されたエリアへのアクセスを求めたり、他人になりすましてメールアカウントを開設させたりすることがあります。
ソーシャルエンジニアは、目標を達成するためにさまざまな戦術を用います。

例えば、会社のヘルプデスクからの電話だと主張し、コンピュータやネットワークの問題を修正するためとしてリモートアクセスを要求することがあります。
または、銀行アカウントの問題を解決するとして、パスワードやその他の個人情報(例: 銀行の認証情報)を求める場合もあります。
場合によっては、ソーシャルエンジニアが警察官を装い、情報を提供しないと法的措置を取ると脅すことさえあります。

ビジネスにとってこれらの脅威を真剣に受け止めることは重要ですが、警察が電話でパスワードを尋ねることは決してないという点を忘れないでください!

ソーシャルエンジニアリングの目的

ソーシャルエンジニアリングは、フィッシング攻撃でよく利用されます。
フィッシング攻撃とは、信頼できる送信者を装ったメールで、実際には個人情報を盗むことを目的としています。
これらのメールには、通常、悪意のあるソフトウェア(マルウェアと呼ばれることが多い)が添付されており、開くとコンピュータが感染します。

ソーシャルエンジニアリングの目的は常に同じです。
つまり、努力せずに価値あるものへのアクセスを得ることです。

1. 機密情報の窃取
ソーシャルエンジニアは、パスワードやログイン情報(例: ユーザ名やメールアドレス)を引き出そうとすることがあります。
これにより、メールアカウントやソーシャルメディアのプロフィールにアクセスし、過去の取引からクレジットカード番号や銀行口座情報などの個人情報を盗むことが可能になります。
2. 身元詐称(アイデンティティ盗用)
攻撃者は、この情報を利用して被害者になりすまし、悪意のある行為を行うことができます。
これらの情報がすぐに破棄されない場合、後々まで悪用される可能性があります。

ソーシャルエンジニアリング攻撃の例

欺瞞や策略を利用して優位性を得る手法は、パーソナルコンピュータやワールドワイドウェブが広まる以前から存在していました。
歴史を振り返ると、もっとも悪質なソーシャルエンジニアリング攻撃の事例が見られます。
最近の事例では、2020年2月に発生したフィッシング詐欺があります。

この事件では、偽の改装請求書を用いた詐欺により、ABCの「シャーク・タンク」に出演しているバーバラ・コーコラン氏が約40万ドルをだまし取られました。
ソーシャルエンジニアリング攻撃の被害者になった場合、被害を防ぐための知識を持つことが重要です。
潜在的な脅威の警告サインや、自身を守る方法を学びましょう。

ソーシャルエンジニアリング攻撃を見分ける方法

1.直感を信じる

疑わしい内容のメールや電話を受け取った場合、身元を確認するまでは情報を提供しないでください。
会社に直接電話をかけるか、メールを送信したとされる人物や留守番電話にメッセージを残した人物に確認することで、身元を確認できます。

2.個人情報を提供しない

誰かが社会保障番号やその他の個人情報を求めてきた場合、それは信頼を利用して後に悪用しようとするサインです。
必要でない限り、情報を提供しないことをお勧めします。

3.文脈のない不自然な要求

ソーシャルエンジニアは、通常、理由を説明せずに大きな要求をしてきます。
例えば、お金やその他のリソースを要求され、その理由が説明されない場合は、何か怪しいことがあると考えられます。
このような大きな要求があった場合は、慎重になることが重要です。

銀行口座へのアクセスを許してしまうと、どのような被害が生じるかわからないからです!

以下のような場合、ソーシャルエンジニアリング攻撃の可能性があります:

ソーシャルエンジニアリング攻撃の種類

ソーシャルエンジニアリング攻撃を通じて人々を被害者にすることは、詐欺を実行する効果的な手段となります。
これらの攻撃は、さまざまな方法で行われる可能性があります。

アクセスの取得
ハッカーは、他人の名義でクレジットを申請することで銀行口座にアクセスすることができます。
この詐欺には、友人や家族に対して電話やメールを送り、被害者の生活に与えた負担を補填するためとして、迅速な送金を依頼する行為が含まれることがよくあります。
個人情報の窃取
人々が個人情報を渡してしまうもう一つの一般的な手口は、自分が応募していない懸賞やコンテストに当選したと信じ込まされることです。
こうした電話を受け、「詳細情報を提供すれば賞品を受け取れる」と説明されることで、被害者は攻撃者の罠にはまります。
フィッシング
この攻撃では、攻撃者が正規の企業や組織からのメールのように見せかけたメールを送信します。
これらのメールには、悪意のあるリンクや添付ファイルが含まれています。
さらに、フィッシングは世界中で最も一般的なソーシャルエンジニアリング攻撃の一つです。
プレテキスティング(Pretexting)
大規模なソーシャルエンジニアリング攻撃の一つとして、虚偽の身元やシナリオを作り上げて個人情報を取得する手法があります。
特に、攻撃者がテキストメッセージを通じて人々を操作しようとする事例が代表的です。
ショルダーサーフィング(Shoulder Surfing)
攻撃者が他人の肩越しに覗き見して機密情報を得る手法です。
時には、攻撃者が親しい友人や愛する人であり、望んでいた情報を手に入れた後に脅迫することがあります。
そのため、このような人々に注意を払い、すべての個人情報を教えないことが重要です。
テールゲーティング(Tailgating)
攻撃者が許可を受けた人物に続いて建物やセキュリティエリアに侵入する行為です。
他のソーシャルエンジニアリング攻撃ほど一般的ではありませんが、依然として危険で、大きな被害をもたらす可能性があります。

ソーシャルエンジニアリング攻撃から身を守る5つの方法

以下は、ソーシャルエンジニアリング攻撃を防ぐため、またはその被害を避けるための役立つヒントやアイデアをまとめたものです:

1.不審な送信者(メールとテキストメッセージ)
送信者のメールアドレスやメッセージの内容に注意を払いましょう。
怪しいリンクや添付ファイルをクリックしないことが重要です。
2.個人情報の共有をやめる
パスワードやクレジットカード番号などの個人情報を共有する前によく考えましょう。
正当な会社や個人がこのような機密情報を求めることはありません。
常に強力なパスワードを使用し、定期的に変更してください。
複数のアカウントで同じパスワードを使い回さないことで、ソーシャルエンジニアリング攻撃の被害を防ぐことができます。
3.セキュリティの多層化
可能であれば二要素認証を利用しましょう。
これにより、ユーザー名とパスワードの他、モバイル端末に送信されるコードを入力する必要があり、セキュリティ層が1つ追加されます。
メールや電話番号を認証コードと連携させて設定することで、万が一いずれかのシステムにアクセスされた場合でもアカウントを直接利用されることを防げます。
4.アンチウイルスソフトの導入
すべてのデバイスにアンチマルウェアおよびアンチウイルスソフトをインストールしてください。
これらのプログラムを常に最新の状態に保つことで、最新の脅威から保護できます。
インストールされたアンチウイルスソフトは、ソーシャルエンジニアリング攻撃に対する強力な防御手段となります。
5.リスクに常に注意を払う
常にリスクを考慮する習慣を身につけましょう。
情報提供を求められた場合、その正確性を二重、三重に確認してください。
データ侵害の影響を受ける可能性がある場合は、最新のサイバーセキュリティに関するニュースにも目を配るようにしてください。

結論

ソーシャルエンジニアリング攻撃から身を守るためには、適切な予防策を学び、それを実践することが必要です。
これまでに紹介したソーシャルエンジニアリング攻撃の一般的な手法は、長年にわたり使用されてきたものです。
今すぐに予防策の実施を始めましょう。

ソーシャルエンジニアリング攻撃は、数秒で個人の生活や職業生活に大きな損害を与える可能性があります。
常にデバイス、パスワード、およびログイン情報を保護し、二段階認証コードなどの追加セキュリティを設定して、外部からの攻撃に対する防御層を強化しましょう。
さらに、行動を起こす前に信頼できるITプロフェッショナルやセキュリティ専門家:PowerDMARCに相談してください。

彼らはソーシャルエンジニアリング攻撃のリスクと、それを最小限に抑える方法を理解するための助けとなるでしょう。