ソーシャルエンジニアリングとは?
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Social Engineering: Recognize and Prevent Attacks の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- ソーシャルエンジニアリングは、技術的なハッキングではなく、人の心理や信頼関係につけ込むことで、機密情報を引き出したり特定の行動を促したりする攻撃手法です。
- 一般的な攻撃手法には、フィッシング(電子メール)、ビッシング(音声通話)、スミッシング(SMS)、ベイティング(おとり攻撃)、プリテキスティング(偽のシナリオ作成)などがあります。
- フィッシングは最も一般的な手法であり、正規の通信を装ったメールを利用して認証情報を盗んだり、マルウェアを配布したりします。
- 個人情報を求める予期しない依頼や緊急性を強調する要求、うますぎる話には注意し、依頼者の身元を別の手段で確認することが重要です。
- 多要素認証(MFA)やDMARC、SPF、DKIMなどのメール認証技術に加え、ユーザ教育や強力なパスワード管理といった人的対策を組み合わせることで、被害のリスクを大幅に低減できます。
サイバーセキュリティにおける最大の弱点は、しばしばテクノロジそのものではなく、それを利用する人間です。
攻撃者はそのことを理解しているため、技術的な脆弱性を狙うだけでなく、人の心理や信頼関係を悪用するソーシャルエンジニアリング攻撃を積極的に利用するようになっています。
こうした攻撃は巧妙かつ説得力が高く、企業や個人に深刻な被害をもたらす可能性があります。
その結果として生じる金銭的損失や信用の失墜は、テクノロジだけでは防ぎきれません。
本記事では、ソーシャルエンジニアリングの仕組み、その背後にある代表的な手法、そして攻撃を見抜き未然に防ぐための方法について解説します。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、人の心理につけ込み、機密情報を聞き出したり、特定の行動を促したりする攻撃手法です。
信頼、好奇心、親切心、恐怖心といった感情を巧みに利用し、被害者をだまして情報を提供させたり、攻撃者に有利な行動を取らせたりします。
これは広義のハッキング手法の一種ですが、コンピュータへ技術的に侵入するのではなく、人をだましてシステムへのアクセス権を獲得する点が特徴です。
例えば、従業員を信用させて認証情報を聞き出したり、悪意のある添付ファイルを開かせたり、マルウェアをインストールさせたりすることで、不正アクセスを実現します。
攻撃者は巧妙な心理操作を用いて、被害者自身に気付かれないまま攻撃へ加担させてしまうことがあります。
そのため、ソーシャルエンジニアリングは技術的な対策だけでなく、利用者一人ひとりの警戒心やセキュリティ意識が重要となる攻撃手法です。
ソーシャルエンジニアリングの目的
ソーシャルエンジニアリングは、フィッシングメールをはじめとするさまざまなサイバー攻撃で利用される代表的な手法です。
これらの攻撃では、信頼できる送信元を装ったメールに、悪意のあるソフトウェア(一般的にマルウェアと呼ばれます)を含む添付ファイルや、クリックすることでコンピュータを感染させる悪意のあるWebサイトへのリンクが含まれていることがあります。
ソーシャルエンジニアリングの目的は一貫しています。
それは、技術的な手段でシステムを突破することなく、価値のある情報や資産を手に入れることです。
主な目的は以下の通りです。
- 機密情報の窃取
- ログイン認証情報、顧客データベース、企業秘密などを盗み出します。
- 個人情報の盗用
- 被害者になりすまして不正行為を行います。
- 金銭詐欺
- 従業員をだまして送金や支払いの承認を行わせます。
- 不正アクセスの取得
- 制限された施設やシステム、メールアカウントなどへ不正にアクセスします。
一般的なソーシャルエンジニアリング攻撃の種類
ソーシャルエンジニアリングは、単一の手口に限定されるものではありません。
攻撃者の工夫や利用できる手段によって、さまざまな形で実行されます。
高度な技術を用いる攻撃もあれば、単純な電話やSMSだけで成立する攻撃もあります。
共通しているのは「人をだますこと」ですが、その手法は多岐にわたります。
以下は、組織が特によく遭遇する代表的な攻撃手法です。
- フィッシング
- 信頼できる送信元を装った偽のメールを送り、認証情報や機密情報を盗み取る攻撃です。
- スピアフィッシング
- 特定の個人や組織を標的とした、高度にカスタマイズされた攻撃です。
- ホエーリング攻撃
- 経営幹部や重要な意思決定権を持つ人物を狙う攻撃です。
- ベイティング
- 無料ソフトウェアや感染済みUSBドライブなど魅力的なものを餌として提供し、被害者にマルウェアをインストールさせる攻撃です。
- プリテキスティング
- 監査担当者やITサポート担当者になりすますなど、架空のシナリオを用いて相手の信頼を得る攻撃です。
- ビッシング(Voice Phishing)
- 電話を利用して被害者をだまし、機密情報を聞き出す攻撃です。
- スミッシング(SMS Phishing)
- 悪意のあるリンクを含むSMS(ショートメッセージ)を送信し、被害者を誘導する攻撃です。
- クイッド・プロ・クオ
- 無料のITサポートや特典などの見返りを提示し、認証情報やアクセス権を取得する攻撃です。
- テールゲーティング
- 正規の従業員の後に続いて入館し、セキュリティエリアへ不正に侵入する攻撃です。
ソーシャルエンジニアリング攻撃の主要な段階
ソーシャルエンジニアリング攻撃が、無計画に行われることはほとんどありません。
多くの場合、攻撃は計画的な流れに沿って進行し、それぞれの段階で標的の警戒心を少しずつ解いていくように設計されています。
この流れを理解しておくことで、警告サインを早い段階で見抜き、実際の被害が発生する前に対処しやすくなります。
ステージ1:情報収集
最初の段階は、事前調査(偵察)です。
攻撃者は標的に接触する前に、組織や従業員に関する情報を時間をかけて収集します。
収集対象となる情報には、従業員の氏名や役職、取引先との関係、社内プロセスなどがあります。
こうした情報の多くは公開されており、比較的簡単に入手できます。
企業サイト、求人情報、プレスリリース、LinkedInなどのSNSは、攻撃者にとって豊富な情報源になります。
メール署名の形式や企業が使用している技術など、一見すると些細な情報であっても、後に本物らしい偽装メールや口実を作る材料になります。
ステージ2:信頼関係の構築
背景情報を集めた後、攻撃者は信頼を得るための筋書きを作ります。
これは、標的に受け入れられやすい人物や状況を演じることを意味します。
この段階では、被害者が信頼しやすい人物になりすまします。
例えば、以下のような人物です。
- 上司
- 他部署の同僚
- サービス提供業者
- ヘルプデスク担当者
やり取りは通常、礼儀正しく、業務上自然に見えるよう慎重に作られています。
攻撃者は、事前調査で集めた情報をメッセージ内容に反映させることで、被害者がそのやり取りを本物だと信じる可能性を高めます。
ステージ3:信頼関係の利用
ここが攻撃の決定的な段階です。
攻撃者は、それまでに築いた信頼関係を利用して目的達成を図ります。
要求内容は、日常的な業務依頼や緊急対応のように見えることがあります。
しかし、その実態は攻撃者の目的を達成するためのものです。
被害者は以下のような行動を求められる場合があります。
- リンクをクリックする
- ファイルをダウンロードする
- ログイン認証情報を提供する
- 金融取引を承認する
すでに信頼できる相手だと思い込んでいるため、こうした要求は自然なものに感じられます。
そして、それこそが攻撃が成功する理由です。
この段階では警戒心が薄れており、多くの被害者は自分がだまされていることに気付かないまま要求に応じてしまいます。
ステージ4:目的の達成
最後に、攻撃者は目的を達成します。
その結果として、以下のような被害が発生する可能性があります。
- システムへの不正アクセス
- 機密データの窃取
- 企業資金の不正送金
熟練した攻撃者は、発覚を避けるために追加の対策を取ることもあります。
例えば、ログを削除したり、徐々に活動を減らして痕跡を隠したりします。
攻撃者が長期間発見されなければ、その分だけ長くアクセス権を悪用され、組織により深刻で長期的な被害をもたらす可能性があります。
ソーシャルエンジニアリングを見抜き、防止する方法
ソーシャルエンジニアリング攻撃が効果を発揮するのは、攻撃の最中に見抜くことが難しいためです。
攻撃者は信頼できる人物を装い、緊急性を強調し、人間の心理的な弱点を巧みに利用します。
そのため、最も重要な対策は、こうした手口への理解と警戒意識を高めることです。
攻撃の兆候を理解し、適切に対応する方法を知ることが重要です。
見抜くためのポイント
従業員は、ソーシャルエンジニアリング攻撃の可能性を示す以下の警告サインに注意する必要があります。
- 不自然な依頼
- 特に金銭や機密情報に関わる依頼には注意が必要です。
- 緊急性やプレッシャー
- 攻撃者は、被害者が十分な確認を行う前に行動を起こさせようとします。
- 送信者情報の不審点
- メールアドレスや電話番号が、公式な連絡先情報と一致しない場合があります。
- あまりにも都合が良すぎる提案
- 賞品、報酬、無料サービスなどを餌にして行動を促す場合があります。
- 秘密保持の要求
- 攻撃者は、他人に相談したり確認したりしないよう求めることがよくあります。
防止するための対策
攻撃を見抜くことは第一歩ですが、防ぐためには体系的な防御策が必要です。
従業員教育と技術的対策を組み合わせることで、組織はこうした攻撃に対してより高い防御力を発揮できます。
推奨されるベストプラクティスは以下の通りです。
- 従業員に対して定期的にフィッシングやその他の詐欺手法を見分けるための教育を実施する。
- DMARC、SPF、DKIMなどのメール認証技術を導入し、ドメインなりすましやフィッシング攻撃を防止する。
- 支払い承認や認証情報の提供など重要な依頼については、必ず別の通信手段で確認する。
- 可能な限り多要素認証(MFA)または二要素認証(2FA)を利用してアカウントを保護する。
- すべてのデバイスでアンチウイルスソフトウェアを最新の状態に保ち、ソーシャルエンジニアリング経由で配布されるマルウェアへの防御を強化する。
- 従業員には職務上必要な最小限の権限のみを付与する。
- フィッシングシミュレーションを実施し、従業員の警戒心や対応能力を継続的に強化する。
まとめ
ソーシャルエンジニアリングは、人間を標的とするため、サイバーセキュリティ上もっとも危険な脅威の一つです。
その仕組みや目的、攻撃手法、そして攻撃者の行動パターンを理解することで、組織はより効果的な防御体制を構築できます。
効果的な防御には、人の意識向上と技術的なセキュリティ対策の両方が欠かせません。
継続的な教育、強固なセキュリティポリシ、そしてDMARCのようなメール認証ソリューションを活用することで、組織は多額の損失につながるセキュリティ侵害から身を守ることができます。
よくある質問
- ソーシャルエンジニアリングと心理操作(マニピュレーション)の違いは何ですか?
- ソーシャルエンジニアリングは、悪意のある目的を持った心理操作の一種であり、主に金銭的利益の獲得や不正アクセスを目的としています。
一方、心理操作は日常的な人間関係の中でも見られますが、ソーシャルエンジニアリングは信頼関係を悪用してサイバー攻撃を実行する点が特徴です。 - 職場におけるソーシャルエンジニアリングの例は何ですか?
- 代表的な例として、CEOや経営幹部から送られたように見えるメールで従業員に緊急の送金を依頼するケースがあります。
攻撃者は、権威への信頼や緊急時に判断を急ぐ心理を利用し、通常であれば行われる確認手順を省略させようとします。