ソーシャルエンジニアリングとは?代表的な手法と対策方法について解説
現代のデジタル社会において、セキュリティの脅威はますます進化しています。
その中でも、人々の心理や信頼を悪用する手法として脅威とされているのが
『ソーシャルエンジニアリング』
です。
ソーシャルエンジニアリングは技術的な脆弱性を突くのではなく、人々の善意や信頼、行動パターンを利用して不正行為をおこなう手法です。
本記事ではソーシャルエンジニアリングの基本原理から具体的な攻撃手法、そして対策の重要性について解説します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、人間の心理や行動にアプローチし、情報やアクセスを不正に入手するための手法や技術のことを指します。
例えば普段の買い物をAmazonでしているとします。
外出先でも気軽に買い物ができる時代ですが、カフェでAmazonにログインしようとした時に、後ろの席から入力画面が見られたとします。
その人が、自分になりすましてAmazonにログインし、アマゾンギフトを購入。
そしてそのコードを転売する。
このように、Amazonアカウントを利用して犯罪を行う攻撃者がいます。
こういった手口をソーシャルエンジニアリングと言います。
ソーシャルエンジニアリングは、技術的なセキュリティ対策が進んだ場合でも、人間の行動特性や判断力につけ入る隙がある限り、被害の起こり得る不正行為です。
そのため、ソーシャルエンジニアリングは情報セキュリティの観点から重要な脅威という位置づけになっています。
ソーシャルエンジニアリングの増加の背景と目的
ソーシャルエンジニアリングの脅威は以下の理由により日々増し続けています。
1つ目は技術の発展です。
技術の進歩により、人々の情報がオンライン上でより簡単に入手できるようになりました。
ソーシャルエンジニアリングの攻撃者は、ソーシャルメディアやオンラインプロフィールなどの情報源から、より詳細な個人情報や嗜好を収集し、ターゲットを狙った攻撃をおこなうことができます。
例えばフェイスブックやLINEなどで生年月日を入力している人は、この情報を元に、銀行のキャッシュカードの暗証番号がバレるかもしれません。
1人の人が多くのWEBサービスに登録する時代だからこそ、ソーシャルエンジニアリングも増加しているのです。
2つ目は社会工学が洗練されたことです。
ソーシャルエンジニアリングの攻撃者のパターンは様々で、中には心理学や社会工学の原理を研究し、それを自身の攻撃手法に取り入れている場合があります。
人々の心理的な特性や行動パターンを理解し、様々な手口を用いた不正行為をおこないます。
3つ目は情報の価値に変化が起きていることです。
個人情報や機密情報はサイバー犯罪者や悪意のある組織にとって非常に価値のある資源です。
ソーシャルエンジニアリング攻撃は、短期的な利益を追求するだけでなく、長期的な詐欺や不正行為に利用される可能性があります。
以前は個人情報をSNSに載せていて、その情報が気付かない間に流出したとします。
その後、個人情報をSNS上から削除しても、すでに収集された個人情報は、詐欺グループに売られて利用され続ける事も考えられるのです。
以上に挙げたような背景により、ソーシャルエンジニアリングは日々進化を続けており、対策が急務となっています。
セキュリティ意識の向上、教育、技術的な対策の強化が、ソーシャルエンジニアリングに対抗するための重要な要素となります。
ソーシャルエンジニアリングの手法
ソーシャルエンジニアリングの手法は多岐にわたり、技術の進歩に伴う新たな攻撃手法から、アナログで古典的な方法まで様々です。
ここではソーシャルエンジニアリングの手法について解説します。
1つ目はフィッシングです。
フィッシングとは、偽の電子メールやWebサイトを使用して、ユーザーに個人情報やパスワードを入力させる手法です。
例えば、銀行のWebサイトに偽装したサイトへユーザーを誘導し、パスワードなどのログイン情報を盗むなどといった行為がそれに該当します。
2つ目はプリテキスティングです。
プリテキスティングとは、いわゆるなりすましのことです。
信頼を築くための口実を用いることで対象者から情報を引き出す手法です。
例えば、悪意のある者がセキュリティ業者などを装うことで、個人情報を聞き出すなどといった行為が挙げられます。
3つ目はバタフライ攻撃です。
ソーシャルエンジニアリングの手法としては比較的新しいものとされています。
悪意のある者が対象ユーザーのSNSプロフィールなどを研究し、その人の好みや嗜好を利用して悪意のあるリンクや添付ファイルを送りつけることで、不正サイトへのアクセスを誘導するといった手法です。
4つ目はショルダーハッキングといわれるもので、いわゆるのぞき見と呼ばれる行為です。
ユーザーがパスワードや重要情報などをキーボードから入力している様子や、ディスプレイの表示内容を背後や隣から盗み見ることで情報を取得します。
肩越しにのぞき見する様子から、こうした名称がつけられています。
5つ目はトラッシングです。
ゴミ漁りとも呼ばれており、パスワードや機密情報などが書かれた印刷物を、ゴミのなかから漁り出す行為のことを指します。
印刷されたファイルをシュレッダーにかけず、そのまま可燃物として捨てている企業や組織の場合、そのゴミの中から重要情報を特定されてしまうといったリスクがあります。
ソーシャルエンジニアリングによる影響
ここまで解説した手法を踏まえ、ソーシャルエンジニアリングには以下のような影響が起こることを考慮しなければなりません。
1つ目は情報漏洩です。
ソーシャルエンジニアリング攻撃により、個人や組織の機密情報や個人情報が漏洩する可能性があります。
攻撃者は、様々な手法を用いることで情報を取得しようとしてきます。
漏洩した情報は悪用される可能性があるため注意が必要です。
2つ目は詐欺行為です。
ソーシャルエンジニアリングにて取得した情報を悪用され、詐欺行為をおこなわれる恐れがあります。
例えば、銀行の口座情報やクレジットカード情報などの個人情報を、悪意を持って利用されることで、不正な取引や金銭の詐取をされる可能性があります。
3つ目はシステムへの不正アクセスです。
ソーシャルエンジニアリングによって盗まれたパスワード等の情報を用い、システムへの不正アクセスをされる恐れがあります。
攻撃者は、標的となる組織の社員や関係者になりすますことで、企業経営に関わる重要な情報を奪われてしまう可能性があります。
4つ目は社会的信用の失墜です。
ソーシャルエンジニアリング攻撃により顧客情報などを盗まれてしまった場合、その企業は顧客だけでなく社会的信用を失ってしまうかもしれません。
一度失ってしまった信用を回復するのは難しく、企業の存続危機に関わるほどの重大なリスクとなる可能性が考えられます。
以上のように、ソーシャルエンジニアリングによる影響は計り知れません。
これらのリスクを軽減するために、ソーシャルエンジニアリングへの対策強化と予防措置をおこなっていくことが何よりも重要となってきます。
ソーシャルエンジニアリングへの対策
ではソーシャルエンジニアリングへの対策はどのようなものがあるのかを解説します。
ソーシャルエンジニアリングには高度なセキュリティ対策を講じるのではなく、意識や行動の変革を促すことが最も重要です。
信用度の高いサービスだけを選んで利用する
サービスによって、セキュリティに関する仕組みが異なります。
例えば、Googleのアカウントは、普段と違う行動を取っていると、メールで通知をしてくれる仕組みがあります。
こういったサービスを利用していれば、攻撃者の不正にいち早く気付くことができます。
他にも、ログインするたびにメールが飛んでくるサービスや、特定の操作(アカウント情報の変更など)に対しては、SMSでの認証が必要になるサービスもあります。
特に仕事で利用する場合は、こういったセキュリティの厳しいサービスだけを利用するべきでしょう。
教育と訓練
教育と訓練は基本的な対策の1つです。
ユーザーに対して、ソーシャルエンジニアリングの手法や攻撃の兆候についての教育と訓練を行います。
ユーザーがソーシャルエンジニアリングの攻撃を識別し、慎重な行動を取ることができるようになれば、被害は確実に減ります。
また、継続的に教育と訓練を実施することで、セキュリティ意識の向上を図れます。
セキュリティ意識を高めるために、組織や個人は定期的な監査やセキュリティポリシーの策定を合わせておこなうことも重要です。
なりすましの電話やメールについては発信元を確認するなど、意識の向上により慎重な対応をすることで違和感にすぐ気付ける可能性が高まります。
定期的な周知
教育を通して、意識を高めると同時に、定期的にこれらの情報を周知することで、確実性が増します。
例えば、世間で情報漏えい等のニュースが出るたびに全社員に共有したり、社内で危険性の高い行動が見られた際に全社員に周知を行う。
人の記憶は長期間維持できない事を前提に、ふとした時に思い出せる仕組みづくりができれば良いでしょう。
ツールの導入
ツールを導入することで回避できる被害もあります。
例えば、ショルダーハッキングの対策として、覗き見防止フィルターを自身のPC画面に貼り付けるだけでも十分な効果があります。
また、トラッシングの対策としては、書類のシュレッダーを義務化したり、書類を原則デジタル化するといった対策が考えられます。
専用のシステムを導入する
既存のシステムの設定を見直すことや、新規でシステムを導入することでソーシャルエンジニアリングを回避できる可能性があります。
例えば、メールフィルタリングやウイルス対策ソフトウェアなどの導入、それらを活用したセキュリティ対策が挙げられます。
攻撃者からのフィッシングメールやマルウェアを検出し、遮断することで被害を最小限に抑えることができます。
二段階認証を用いることも効果的です。
二段階認証は、パスワードだけでなく、追加の認証要素(SMSで送られてくるワンタイムパスワードなど)を必要とするセキュリティメカニズムです。
これにより、攻撃者がパスワードだけでアクセスを試みても侵入を防ぐことができます。
他にも、シンクライアント端末を利用するなど、色々な方法が考えられます。
ソーシャルエンジニアリングを取り巻く展望
技術の発展に伴い、今後もソーシャルエンジニアリングによる被害は増えることが予想されます。
ここではソーシャルエンジニアリングの展望や、それらを踏まえ今後私たちが意識すべきことについて解説します。
ソーシャルエンジニアリング攻撃は、人々の心理や行動を悪用する手法ですが、技術の進歩により、より洗練された攻撃手法が開発される恐れがあります。
将来的には、ソーシャルエンジニアリング攻撃と技術的な手法との連携が進み、より高度な攻撃がおこなわれる可能性を考慮しておかなければなりません。
例えばAIとの組み合わせによる手法です。
人工知能の進歩により、ソーシャルエンジニアリング攻撃にもAIが活用される時代が訪れるかもしれません。
AIを使用することで、攻撃者はよりリアルななりすましが可能になり、悪意ある攻撃の特定が困難になる可能性があります。
また、ソーシャルメディアの普及と利用の増加により、ソーシャルエンジニアリング攻撃の潜在的なリスクが高まっています。
将来的には、ソーシャルメディアのプラットフォームやユーザー自身が、より強力なセキュリティ対策や情報保護策を実施する必要があるかもしれません。
ソーシャルエンジニアリング攻撃への対策は、技術的な防御策はもちろん大事ですが、それだけで完全に防ぐことはできません。
上述した内容を踏まえ、個人や組織はソーシャルエンジニアリングの手法やリスクについての継続的な教育訓練を実施し、セキュリティ意識を高めていく必要があります。
社内のシステム運用を見直すならAMELAに
今回は、ソーシャルエンジニアリングについて見てきました。
ソーシャルエンジニアリングは、昔から問題にはなっていたものの、ネット上に多くの個人情報を置く現代の方が、その危険性が高くなっています。
とは言うものの、あらゆるサービスがオンプレミスではなくクラウドサービス化している中で、ソーシャルエンジニアリングを完全に回避できるとは限りません。
そのため、システムの定期的な見直しや、運用方法の検討は全ての企業で重要になってくるでしょう。
現在のシステム運用に疑問や不安を持っている企業様は、是非一度ご相談いただければと思います。
専任のITコンサルタントが、最新の情報と御社の状況を元に、最適な提案をいたします。
