2025.02.19
近年、サイバーセキュリティの世界でますます注目を集めている「ソーシャルエンジニアリング」。技術的なハッキング・クラッキングとは異なり、人間の心理や行動を巧みに利用して情報を引き出す手法です。
最近話題の「電話de詐欺」も、ソーシャルエンジニアリングの一種といってよいでしょう。
報道等では、ソーシャルエンジニアリングの被害が多く伝えられ、ある意味、最近は技術的な攻撃よりも心理面を突いた攻撃が増えている印象があります。
そこで、基本情報と被害に遭わないためのポイントをまとめてみました。
1. 「ソーシャルエンジニアリング」とは?
1-1 ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、人間の心理や行動パターンの盲点を突いて情報を不正に入手したり、システムに侵入したりする手法のことです。
「エンジニアリング」と言葉は付いていますが、コンピュータシステムやネットワークの技術的な脆弱性を突くハッキング手法とは異なります。
Qbookでは、以前、コンピュータウイルス「Emotet(エモテット)」やケビン・ミトニック氏の事例から、ソーシャルエンジニアリング対策の「基本」をご紹介しました。
ソーシャルエンジニアリングは、ソーシャルハッキング(ソーシャルハック)と呼ばれることもありますが、両者はほとんど同じ意味といってよいと思います。
これらの手法は、人間関係や社会的な相互作用を巧みに操ることで、標的となる個人や組織から機密情報やアクセス権を引き出すことを目的としています。
攻撃者は、後述しますが、人間の親切心、同情心、恐怖心、好奇心などの感情を巧みに悪用して、被害者を騙して情報を開示させたり、特定の行動を取らせたりするのです。
1-2 ソーシャルエンジニアリングで使われる「心理テクニック」
Qbookの前回の記事では、「ソーシャルエンジニアリングの種類」として、以下の代表的なものを紹介しました。
- ビジネスメール詐欺(メールなりすまし)
- 標的型攻撃メール(ビジネスメール詐欺)
- なりすまし電話
- トラッシング
- ショルダーハッキング
- フィッシング詐欺
上記のソーシャルエンジニアリングでは、用いられている「心理テクニック」について解説します。
権威を装う
上司や重役、あるいは警察官などの権威ある立場になりすまして情報を要求します。「電話de詐欺」でよく使われています。
緊急性を強調する
「今すぐに対応しないと大変なことになる」といった緊急性を強調し、冷静な判断を妨げます。「電話de詐欺」やスパムメールでよく使われていますね。
親密さを演出する
事前に入手した情報を使って、相手と親しい関係にあるかのように振る舞って、信頼を勝ちとる方法です。
同情を誘う
困っている人を演じて、相手の同情心に訴えかけます。これは一般的な詐欺で使われています。
恐怖心を煽る
「あなたのアカウントが危険にさらされている」などと脅して、焦らせます。スパムメールでよく見かける手口です。
これらのテクニックは、単独で使われることもありますが、多くの場合、複数の手法を組み合わせて使用されます。そのため、被害者は気づかないうちに重要な情報を開示してしまったり、セキュリティ上問題のある行動を取ってしまったりするのです。
2. ソーシャルエンジニアリングが危険な理由
ソーシャルハックの第一の特徴は、高度な技術的知識や特殊な機器を必要としないことです。
そのため、誰でも「やり方」を知れば比較的容易に実行できてしまうという危険性があります。つまり、技術スキルがなくても悪用できてしまうということになります。
また、人間の心理を巧みに操るため、通常のセキュリティ対策では防ぎきれないという点も大きな問題です。ソーシャルエンジニアリングが危険とされる理由について解説します。
2-1 技術的な防御が難しく、対策が追いつかないから
通常のサイバーセキュリティ対策は、主にシステムやネットワークの技術的な脆弱性を防ぐことに焦点を当てています。
しかし、ソーシャルハックは人間の心理を利用するため、ファイアウォールやアンチウイルスソフトなどの技術的な防御策では防ぎきれません。
また、ソーシャルエンジニアリングの手法は常に進化しており、新しい社会的トレンドやテクノロジーに合わせて変化します。そのため、対策が追いつかない場合があります。
2-2 気づかれにくいため、被害の規模が大きくなる可能性があるから
巧妙なソーシャルエンジニアリングは、被害者が攻撃を受けていることに気づきにくいように設計されています。
そのため、被害が発覚するまでに時間がかかり、その間に被害が拡大してしまうケースが増加しています。
例えば、ソーシャルエンジニアリングによって得られた情報(パスワードやアクセス権限等)を使って、攻撃者がシステムに侵入すると、大規模なデータ漏洩や金銭的損失につながる可能性があります。一度の成功で、組織全体のセキュリティが危険にさらされる可能性があることになります。
2-3 人間の心理的な弱点をつくため負担が大きくなるから
ソーシャルエンジニアリングは、親切心、同情心、恐怖心など、人間の本質的な感情や行動パターンを利用します。これらは簡単には変えられないため、完全に防ぐことが難しいです。
また、ソーシャルエンジニアリングの被害に遭うと、被害者は自分の判断力や信頼性を疑うようになり、心理的なダメージを受ける可能性があります。
これは、個人レベルでも組織レベルでも深刻な問題となり得ます。
2-4 一人の被害が組織全体の脆弱性となるから
一人の従業員がソーシャルハックの被害に遭うだけで、組織全体のセキュリティが危険にさらされる可能性があります。
昨今のランサムウェアを利用した攻撃などの起点となるのも、「一人の被害」からというケースが報道されています。つまり、"一人"が組織全体の脆弱性になってしまうのです。
さらに個人情報や機密情報が漏洩した場合、報道等により顧客や取引先からの信頼を失うなど、被害を受けた上に追加でダメージを受けることもありえます。
ソーシャルエンジニアリングは日常的なコミュニケーションの中で行われる可能性が高いため、常に警戒を怠らないことが求められます。
しかし、心理学的な理解なども必要で、批判的思考力も大切といわれる中、これらを全従業員に効果的に教育することは、なかなか大変です。
3. ソーシャルエンジニアリングの事例
3-1 「なりすまし電話」の怖さ
関連記事「「伝説のハッカー」から学ぶ、ソーシャルエンジニアリング対策の「基本」とは?」では、2017年12月に発生した、日本航空(JAL)のビジネスメール詐欺事件と、ケビン・ミトニック氏の事例を紹介しました。これらに加え、昨今ではなりすまし電話による被害も多く見られるようになっています。
2024年に世界を騒がせた、超有名メジャーリーガーの通訳による巨額の銀行詐欺事件では、加害者は被害者になりすまして預金を引き出していました。この音声が先日報道され、怖いと思った方も多いと思います。
2018年、新潟県の県立病院で、研修医52名分の個人情報(氏名と携帯電話番号)が流出する事件が発生しています。この事件もまた、なりすまし電話によるソーシャルエンジニアリングの典型的な例といってよいでしょう。
加害者は医師を名乗り、病院の事務員に電話をかけました。そして、「研修医の氏名と電話番号を教えてほしい」と要求していたのです。事務員は、相手が本物の医師だと信じ、口頭で情報を伝えてしまいました。
この事件の注目点は、電話で簡単に個人情報を開示してしまったことです。適切な本人確認や情報開示の手順が守られていれば、防げた可能性が高いと考えられています。
公開された音声などを聞いて、一部で「なぜ分からなかったのか」という声もあります。しかし、そのシチュエーションから「そんなこと(なりすまし)は起こり得ない」といった心理を突かれているために、冷静な人であっても騙されてしまうことがあるのが"怖さ"といってよいでしょう。
また、AI技術を用いたなりすまし詐欺も巧妙化しています。
AIを活用して家族の声を模倣し、緊急事態を装う手口が増加しており、タイの首相も被害に遭ったケースでは、犯人がAIで生成した家族の声を使い、金銭を騙し取ろうとしました。
このような手口は、音声が本人のものと酷似しているため、被害者が疑うことなく指示に従ってしまう危険性があります。家族や信頼できる友人との間で合言葉を設定するなど、日常的な対策を講じることが求められます。
3-2 そのロマンスにはご用心(国際ロマンス詐欺)
最近になり、増加していると報道されているのが、SNSやマッチングアプリを利用した「国際ロマンス詐欺」です。この手口では、攻撃者が魅力的な偽プロフィールを作成して、ターゲットに接近します。
攻撃者は、プロフィール写真に魅力的な異性の写真を使用し、メールのやり取りでパスポートや免許証の偽造画像を提示するなどして、信頼関係を築きます。その後、プレゼントの税関代金やテロ対策証明書の発行料、学費など、さまざまな名目で金銭を要求し、被害者から多額の現金や電子マネーを騙し取ります。
この事例が示すのは、SNS上での出会いには十分な注意が必要で、実際に会ったことのない相手に金銭を送ることは極めて危険だということです。このような事例では「自分は被害にはあわない」と思う心のスキマを狙われていた......と考えることもできます。
4. ソーシャルエンジニアリングから身を守る対策方法
ここでは、具体的にソーシャルエンジニアリングから身を守る方法をまとめてみたいと思います。
覚えておきたいソーシャルエンジニアリングの特徴は、技術的な対策だけでは防ぎきれない攻撃手法だということです。そのため、個人と組織、またはその両方が、適切な知識と対策を身につけることが重要になってきます。
4-1 おさえておきたい6つの心構え
ソーシャルエンジニアリングから身を守るための基本的な注意点は、以下の6点です。
【対策1】常に警戒心を持っておく
外部からの不自然な要求や、急を要しすぎる依頼や相談には特に注意を払いましょう。
「おかしい」と感じたら、必ず確認したり、誰かに相談することがポイントになってきます。このようなとき「1対1」のような状況を避けましょう。
【対策2】確認の習慣化
重要な情報のやり取りや、普段と異なる指示を受けた場合は、別の手段で確認する習慣をつけましょう。
この場合も誰かに相談することも大切です。重要な確認は一人で行わないほうが確実ともいえます。
【対策3】自分が持っている情報の価値を理解しておく
自分が持っている情報の価値を正しく理解しておくことも大切です。情報を価値に応じて適切に管理することが重要です。
些細な情報でも、攻撃者にとっては大変に有用な場合がありえます。第三者的な観点で自分が持つ情報の重要度を確認しておくとよいでしょう。
【対策4】セキュリティ意識を向上しておく
最新のセキュリティ脅威や対策について、常に学び続けることが大切です。さまざまな報道や警察など公的機関の発表を頼りにするのがよいでしょう。
【対策5】個人情報の取り扱いに注意する
SNSなどでの個人情報の公開には十分注意しましょう。攻撃者はこれらの情報を悪用する可能性があります。
最近では、SNSなどに投稿された写真や文章、位置情報等々から調査を進めて個人情報などを盗む「モザイクアプローチ」も話題になっています。
【対策6】バックアップをこまめに取る
バックアップを取り、さらに盗難対策を推し進めておくことも大切です。
4-2 組織における具体的な対策方法
組織レベルでのソーシャルエンジニアリング対策のポイントは、運用(システム)やポリシーの整備が大切です。
関連記事『「伝説のハッカー」から学ぶ、ソーシャルエンジニアリング対策の「基本」とは?』でも、セキュリティルールを定めて、訓練をすることが対策のポイントと述べました。
あらためて見ると分かるように、技術的な対策よりも、人的な対策がポイントになっています。
【対策1】従業員教育の実施
定期的にセキュリティ研修を行って、脅威や対策について学び、全員で知識をアップデートする機会を設けるのは良策です。
本人確認の方法などは常日頃から練習しておくこともポイントです。
【対策2】セキュリティポリシー・インシデント対応手順の策定
情報の取り扱いや、外部とのコミュニケーションに関する明確なセキュリティポリシーを作成し、周知徹底しておきます。また、取引先や外部委託先のセキュリティ対策状況も確認します。
攻撃を受けた場合(インシデント)の対応手順を事前に決めておくことも大切です。そして、この対応手順は外部に漏らさないほうが適切でしょう。
【対策3】多要素認証の導入
情報管理には、パスワードだけでなく、生体認証やワンタイムパスワードなど、複数の認証方法を組み合わせる多要素認証を取り入れることで、なりすましのリスクを低減できます。
【対策4】アクセス権限の管理を進める
アクセス権限は必要最小限の付与として、定期的に見直します。盗まれたID、パスワードを使った情報漏洩のリスクを減らすことができます。
【対策5】物理的セキュリティの強化
トラッシングや盗み見などの手口による被害を防ぐため、オフィスへの入退室管理や、機密文書の適切な管理など、物理的なセキュリティを高めておくことも大切です。
4-3 個人でできる具体的な対策方法
個人レベルでも、ソーシャルハックから身を守るためにできることはたくさんあります。
【対策1】強力なパスワード・二段階認証・多要素認証の使用
長く、複雑で、推測しにくいパスワードを使用しましょう。また、サービスごとに異なるパスワードを使うことが重要です。
パスワード管理ツールの利用も検討に値しますが、ツールの権限を奪われると大変なことになるので、ツールの選定には最新の注意を払ってください。
また、可能な限り、オンラインアカウントでは、二段階認証や多要素認証を有効にしましょう。
【対策2】ソフトウェアの最新化
OSやアプリケーションを常に最新の状態に保つことで、既知の脆弱性を塞ぐことができます。
稀にアップデートでトラブルが発生することもあるので、アップデートやセキュリティ関連の情報は定期的にチェックするとよいでしょう。
【対策3】不審なメールやメッセージは「無視」する
知らない送信元からのメールや、不自然な内容のメッセージには注意しましょう。リンクのクリックや添付ファイルの開封は慎重に行うことが重要です。
最近は、見た目が本物とまったく同じメールやメッセージが使われることがあります。目視だけでの判定は難しいので、スパムチェッカーなどのツールも活用して判断したほうがよさそうです。
【対策4】適切なセキュリティソフトやサービスを導入する
フィッシングサイトを見分ける方法や、URLの確認、セキュリティ証明書の確認を学ぶことも大切ですが、加害者側の手口はどんどん巧妙になっています。
簡単に見抜けると己を過信せず、適切なセキュリティソフトを導入することも大切です。
公共のWi-Fiを使用する際は、VPNサービスを利用するといった防衛策も考慮します。
【対策5】SNSでの情報公開には十分注意する
個人情報や行動パターンを安易に公開しないようにしましょう。プライバシー設定も適切に行いましょう。
個人での対策は、基本的な対応の延長線上にありますが、組織と異なり、一人で判断しないといけない場面もあります。その際は、ツールやセキュリティサービスを活用すること検討します。また、受け取った情報や要求が正しいものなのか、「なぜ?」「本当?」とクリティカルシンキングすることも大切です。
ソーシャルエンジニアリングの多くは、人間の思い込みや急いでいるときの判断ミスを狙っています。落ち着いて状況を分析する習慣をつけることで、多くの攻撃を未然に防ぐことができる可能性が大きく高まります。
まとめ
ソーシャルエンジニアリング(ソーシャルハッキング)は、技術的なハッキングとは異なり、人間の心理や行動パターンを巧みに利用して情報を不正に入手する手法です。
フィッシング、なりすまし、ショルダーハッキング、トラッシングなど、さまざまな手口がありますが、いずれも人間の心理的な弱点を突いてきます。
これらの攻撃から身を守るためには、技術的な対策だけでなく、人的な対策が極めて重要です。自分自身と組織を守る取り組みを続けることが大切な時代になってきました。
