~人の心の隙を狙う攻撃から身を守るために~
ソーシャルエンジニアリングって何?🤔
ソーシャルエンジニアリングとは、コンピューターウイルスやハッキングのような技術的な手法を使わずに、人の心理的な隙や行動のミスを利用して、パスワードや機密情報を盗み出す攻撃手法のことです。
難しそうな名前ですが、要は「人をだまして情報を手に入れる」テクニックのこと。攻撃者は、信頼できる人物(例:会社の同僚、システム管理者、取引先など)になりすましたり、緊急性を装ったりして、あなたを巧みに操ろうとします。
元々は、ネットワークやコンピューターが登場する前から存在する「人を欺くテクニック」を指す言葉でした。しかし、IT社会においては、サイバー攻撃の前段階として情報を不正に入手する手法として認識されています。
どんな手口があるの?代表的なソーシャルエンジニアリング攻撃 🎣
ソーシャルエンジニアリングには様々な手口が存在します。ここでは代表的なものをいくつか紹介します。
| 手口 | 概要 | 簡単な対策例 |
|---|---|---|
| フィッシング (Phishing) | メールやSMS(スミッシングとも呼ばれる)で、銀行や有名企業などを装い、偽サイトに誘導してID・パスワード・個人情報を入力させる。 | 怪しいメールやSMSのリンクは開かない。URLを確認する。 |
| スピアフィッシング (Spear Phishing) | 特定の個人や組織を狙い撃ちし、業務に関係ありそうな巧妙なメールを送って、ウイルス感染や情報入力を促す。(例:「請求書送付のお知らせ」など) | 心当たりのないメールの添付ファイルは開かない。送信元をよく確認する。 |
| ビッシング (Vishing) | 電話(Voice)を使って、サポートセンターや金融機関などを装い、口座番号やパスワードなどの情報を聞き出す。 | 電話で個人情報を聞かれても即答せず、公式の番号にかけ直して確認する。 |
| ショルダーハッキング (Shoulder Hacking) | パソコンの画面やキーボード操作を肩越しに盗み見て、パスワードなどを盗む。カフェや電車内など公共の場は特に注意が必要。 | パスワード入力時は周りに注意する。覗き見防止フィルターを使う。 |
| トラッシング (Trashing) | ゴミ箱に捨てられた書類や記憶媒体(USBメモリ、HDDなど)を漁って、機密情報を探し出す。メモ書きなども油断禁物。 | 不要な書類はシュレッダーにかける。記憶媒体はデータを完全に消去するか物理的に破壊する。 |
| なりすまし (Impersonation / Pretexting) | 同僚、上司、取引先、業者などを装って電話やメール、あるいは直接訪問し、言葉巧みに情報を聞き出したり、不正な操作をさせたりする。 | 相手が本当に本人か確認する(電話なら折り返す、社員証を確認するなど)。安易に情報を教えない。 |
| リバース・ソーシャル・エンジニアリング | 攻撃者がまず何らかの方法でシステムに問題を起こしたり、サポートが必要な状況を作り出したりした後、被害者から助けを求めさせて情報を聞き出す、あるいは信頼を得て不正な操作をさせる。サポート窓口の変更などを装って連絡させる手口もある。 | 公式のサポート窓口以外に安易に連絡しない。不審な通知は疑う。 |
| スケアウェア (Scareware) | 「ウイルスに感染しました!」といった偽の警告を表示し、偽のセキュリティソフトを買わせたり、情報を入力させたりする。 | 突然の警告表示を鵜呑みにしない。信頼できるセキュリティソフトを導入する。 |
| USBドロップ攻撃 (USB Baiting) | ウイルスなどを仕込んだUSBメモリをわざと落としておき、拾った人が興味本位でPCに接続するのを狙う。 | 拾ったUSBメモリを安易にPCに接続しない。 |
| SNSの悪用 | SNS上の公開情報(勤務先、役職、交友関係など)からターゲットの情報を収集したり、DMで接触したりして情報を引き出す。 | SNSでの個人情報の公開範囲を限定する。知らないアカウントからのDMに注意する。 |
実際にあった被害事例 😨
ソーシャルエンジニアリングによる被害は、企業・個人を問わず実際に発生しています。
- 日本年金機構の情報漏洩(2015年): 職員が受信した標的型攻撃メール(スピアフィッシング)の添付ファイルを開封したことがきっかけとなり、約125万件の個人情報が流出しました。メールの件名や内容は業務に関係があるように装われていました。
- 大手航空会社のビジネスメール詐欺(2017年): 取引先になりすましたメールにより、担当者が偽の口座に約3億8千万円を振り込んでしまう被害が発生しました。
- Emotet(エモテット)の感染拡大(2022年頃): 過去にやり取りした相手の氏名やメール内容を悪用した巧妙ななりすましメールで、受信者を信用させてウイルス(マルウェア)に感染させる手口が猛威を振るいました。
これらはほんの一例です。日常的に、フィッシング詐欺やなりすまし電話による被害は後を絶ちません。
どうすれば身を守れる?対策方法 💪
ソーシャルエンジニアリングは人の心理を突く攻撃なので、完全に防ぐ特効薬はありません。しかし、日頃から意識を高め、基本的な対策を徹底することで、被害に遭うリスクを大幅に減らすことができます。
個人でできる対策
- 「うまい話」や「緊急性の高い話」はまず疑う:冷静になって、一度立ち止まって考える癖をつけましょう。
- メールやSMSのリンク、添付ファイルは安易に開かない:送信元や内容をよく確認し、少しでも怪しいと感じたら無視または削除しましょう。公式サイトはブックマークからアクセスするなど、リンクを直接クリックしない習慣を。
- パスワード管理を徹底する:使い回しを避け、複雑で推測されにくいパスワードを設定しましょう。パスワードマネージャーの利用も有効です。可能であれば多要素認証(MFA)を設定しましょう。
- 個人情報を安易に教えない:電話やメールで聞かれても、すぐに答えない。特に金融機関や公的機関が電話やメールで暗証番号などを聞くことはありません。
- 公共の場でのPC・スマホ操作に注意:画面の覗き見(ショルダーハッキング)に気をつけましょう。離席する際は画面ロックを忘れずに。
- SNSでの情報発信は慎重に:個人情報や勤務先の内部情報などを公開しすぎないようにしましょう。
- 不審なUSBメモリなどを接続しない:拾ったものや提供元不明なものは使わないようにしましょう。
- OSやソフトウェア、セキュリティソフトは常に最新の状態に保つ:基本的なセキュリティ対策も重要です。
組織(会社など)でできる対策
- 従業員へのセキュリティ教育・訓練の実施:ソーシャルエンジニアリングの手口や危険性を周知し、対処法を繰り返し教育することが最も重要です。
- 情報管理ルールの策定と徹底:機密情報の取り扱い、パスワードポリシー、書類や記憶媒体の廃棄ルールなどを明確にし、遵守させましょう。
- 入退室管理の徹底:部外者が容易にオフィスに侵入できないように、社員証の携帯義務化や入退室管理システムを導入しましょう。
- 多要素認証(MFA)の導入:ID・パスワードが漏洩した場合でも、不正ログインを防ぐ効果的な対策です。
- セキュリティソフトやツールの導入:不審なメールのフィルタリングや不正サイトへのアクセスブロックなど、技術的な対策も併用しましょう。
- インシデント発生時の報告・対応体制の整備:万が一被害に遭った場合に、迅速に報告し対応できる体制を整えておきましょう。
ポイント
まとめ ✨
ソーシャルエンジニアリングは、特別な技術がなくても、人間の心理的な隙を突くことで誰でも被害に遭う可能性がある、身近な脅威です。
攻撃の手口は日々巧妙化していますが、基本的な対策を理解し、日頃から「怪しいな?」と疑う意識を持つことが、自身や組織を守るための第一歩となります。
この記事で紹介した手口や対策を参考に、セキュリティ意識を高めていきましょう!💪