サイバー攻撃というと、高度な技術を使った不正アクセスやウイルス攻撃を思い浮かべる人が多いかもしれません。
しかし、高度な技術を用いずに、アナログな方法で情報を盗み取る攻撃が「ソーシャルエンジニアリング」です。
ある意味で技術的な対策やルールの策定だけでは防げないソーシャルエンジニアリングの脅威は情報セキュリティ対策のなかでも大きいものといえるでしょう。
ソーシャルエンジニアリングの手口や具体例、ソーシャルエンジニアリングの対策を解説します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、高度な技術を用いずに人の油断や行動の隙を突いて情報を盗み取る手法のことです。
ソーシャルエンジニアリングで盗んだIDやパスワードは、更なる攻撃を仕掛ける足がかりとして使われます。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」2022年版にランクインしている下記の2つは、心理的な隙を突いて攻撃するソーシャルエンジニアリングの一種です。
- 2位:標的型攻撃による機密情報の窃取
- 8位:ビジネスメール詐欺による金銭被害
身近な脅威であるソーシャルエンジニアリングの手口や具体例を知り、被害に遭わないための対策を進めましょう。
ソーシャルエンジニアリングの主な手口
ソーシャルエンジニアリングの手口は実にさまざまです。
中でも代表的なソーシャルエンジニアリングの5つの手口を紹介します。
- ショルダーハッキング
- ビッシング
- フィッシング
- トラッシング・メールハント
- スケアウェア
言葉だけを見るとわかりにくいかもしれませんが、ソーシャルエンジニアリングの多くはとても単純な手法です。
ショルダーハッキング:盗み見
ショルダーハッキングとは、操作しているパソコンやスマートフォンなどの画面を盗み見る手口のことです。
実に古典的な方法ですが、監視カメラに記録されない限りは証拠を残さずに情報を盗み取れます。
肩(ショルダー)越しに覗き込んで、情報を盗み取る(ハッキング)ことから名付けられています。
ビッシング:電話でのなりすまし
ビッシングとは、関係者やユーザーになりすまして電話でIDやパスワードなどの情報を聞き出す手口を指します。
昔からあるソーシャルエンジニアリングの代表的な手法です。
ユーザーを装って管理者から情報を聞き出すケースと、管理者や信頼できる人・組織を装ってユーザーから情報を盗み出すケースがあります。
フィッシング:偽サイトへの誘導
フィッシングは、インターネットバンキングやECサイトなどの本物そっくりのサイトを用意し、ID・パスワード・クレジットカード番号などを入力させて情報を盗み取る手口です。
正規の企業を装ったメールなどから、偽サイトへ誘導してログインを促します。
メールの文章や送信元ドメイン、URLなどからフィッシングであることに気づくことが大切です。
トラッシング・メールハント:ゴミ箱や郵便物を漁る
トラッシング・メールハントとは、ゴミ箱や郵便受けを漁って重要情報を盗み出すという、実に単純な手口です。
IDやパスワード、顧客情報などが印刷された紙をシュレッダーにかけずにゴミに出している場合、外部や社内に侵入した悪意ある人が盗めてしまいます。
ゴミ箱だけでなく、郵便受けから郵便物を盗み出し、記載された情報を手がかりに更なる情報を盗み取る手口もあります。
スケアウェア:恐怖心をあおる
スケアウェアは、ユーザーの恐怖心をあおって判断力を鈍らせ、情報や金銭を奪う手口です。
ネットを閲覧中に、突然「ウイルスに感染しました」「あなたのパソコンが危険にさらされています」といったメッセージが表示されたことはないでしょうか。
対策のためと称して、金銭の支払いや、マルウェアを仕掛けた偽ソフトのインストールを要求してきます。
ソーシャルエンジニアリングの具体例
ソーシャルエンジニアリングの手法の具体例と、どのような被害に遭うおそれがあるのかを紹介します。
具体例を頭の隅に置いておけば、実際にその場面に遭遇した際に適切に対処できる可能性が高まるでしょう。
ショルダーハッキングの具体例
パソコンなどのディスプレイを覗き見る「ショルダーハッキング」の具体例をいくつか見てみましょう。
- オフィス内で清掃業者を装った外部者に、パソコンのディスプレイを盗み見られる
- 電車内でノートパソコンにログインした情報を隣の席の人に盗み見られる
- カフェでノートパソコンからクラウドサービスにログインしている様子を背後の席からスマホのカメラで撮影される
ID・パスワードが盗まれると、正規のユーザーになりすまして社内システムや外部サービスにログインされ、重要な情報を盗む足がかりにされます。
社内外を問わず、ディスプレイに映し出された情報や、ID・パスワード入力時のタッチ操作は誰に見られているか分かりません。
重要な情報を扱う際には周囲に注意するようにしましょう。
ビッシングの具体例
電話を使ってIDやパスワードを聞き出すビッシングの具体例です。
- 役員や部長などを装って断りづらい状況を作り出し、システム管理者から情報を聞き出す
- システム管理者など信頼できる専門部署を装って、ユーザーから情報を聞き出す
- クラウドサービスなどサービス事業者のサポートデスクを装って、ユーザーから情報を聞き出す
ショルダーハッキングと同じく、聞き出したID・パスワードを使って正規のユーザーになりすましてシステムに侵入し、重要情報を盗み出します。
電話で緊急を装われて、その場で回答を求められるとつい答えてしまうことも多いのではないでしょうか。
電話ではIDやパスワードを伝えないというルールを徹底することが大切です。
フィッシングの具体例
偽サイトに情報を入力させるフィッシングの具体例を見てみましょう。
- 金融機関を装ったメールに記載された偽のURLからログインさせて、ID・パスワードを盗み取る
- ECサイトのパスワードの有効期限切れなどの偽装メールを送り、偽サイトにログインさせて情報を盗み取る
- SNS上に正規サイトを装った偽サイトのURLを記載して、ログインしたユーザーの情報を盗み取る
フィッシングで盗み取られたID・パスワードを使い、ユーザーになりすまして正規のサイトにログインし情報や金銭を盗み取られます。
また、パスワードを使いまわしている場合、他のサイトでも同様の被害に遭う可能性があるため注意が必要です。
トラッシング・メールハントの具体例
ゴミ箱や郵便受けを漁るトラッシング・メールハントの具体例です。
- オフィスの清掃員として企業に侵入して、ゴミ箱から重要情報が記載された資料を持ち出す
- ハードディスクなどの廃棄業者として、重要情報が記録された記憶媒体を盗み出す
- 郵便受けに入っている郵便物を盗んで、請求書などのIDなどから請求元企業に情報を聞き出す
盗まれた情報によっては、企業の機密情報や顧客情報の流出事件に発展する可能性もあります。
監視カメラの設置や、紙はシュレッダー、記憶媒体はデータ消去といった廃棄の基本動作を守ることが大切です。
スケアウェアの具体例
恐怖心をあおって判断力を鈍らせるスケアウェアの具体例を見てみましょう。
- Webサイト上に「ウイルスに感染しました」という警告を表示し、偽の対策ソフト代金を支払わせる
- 同じく警告文を表示して、アンチウイルスソフトを装ったマルウェアをインストールさせ感染させる
ソフトウェア代金を支払うための個人情報やクレジットカード情報が盗まれて、さらに悪用される場合もあります。
警告に焦ってすぐにリンクを押さず、冷静に対処することが大切です。
会社のパソコンで表示された場合には、念のため社内LANから遮断して、システム担当部門に問い合わせましょう。
ソーシャルエンジニアリング被害に遭わないための対策
ソーシャルエンジニアリングは人の油断や行動の隙をついて情報を盗み取ろうとしてくる攻撃です。
企業が組織的にソーシャルエンジニアリング被害を防ぐために行うべき3つの対策を紹介します。
情報管理ルールの策定・教育
まずは情報管理ルールの策定と従業員の教育です。
人の油断や行動の隙をついてくるアナログな攻撃に対しては、油断や隙をできる限り無くす必要があります。
- リモートワークは自宅や個室で行う
- 電話やメールでID・パスワードを答えない
- 資料はシュレッダー・記憶媒体は初期化や物理破壊
といった基本を、情報セキュリティ研修などで社員に徹底しましょう。
一度の研修では徐々に記憶は薄れていきます。
セキュリティ意識が定着するように定期的・継続的に実施することが大切です。
事例の周知による意識向上
ソーシャルエンジニアリングの手口や具体例を、セキュリティ研修などで社員に周知しましょう。
手口や具体例を知っているのと知らないのでは、実際に場面に直面したときの判断力に差が出ます。
例えば、ビッシングの電話やフィッシングメール、スケアウェアの警告に遭遇した場合、事例を知っていれば、「ソーシャルエンジニアリング攻撃かも」と疑ってかかることができるでしょう。
ソーシャルエンジニアリングは誰もがターゲットになり得る攻撃です。
セキュリティ担当者だけでなく、一般社員が事例を知って心構えを持っておくことで被害を防ぎましょう。
監視カメラやログ取得による追跡
悪意のある人物が社内に潜んでいたり、業者になりすまして侵入している場合、セキュリティ意識を高めるだけでは対処が難しいです。
誰でもターゲットになり得るソーシャルエンジニアリングですが、逆に言えば高度な技術が不要のため誰でも攻撃者にもなり得るとも言えます。
社内でのショルダーハッキングやトラッシング・メールハントに対しては監視カメラが抑止力や証拠になります。
また、万が一IDやパスワードが盗まれて不正アクセスを許した場合には、システムのアクセスログがあれば、経路などを追跡可能です。
ソーシャルエンジニアリングの被害を防ぐためには、セキュリティ意識を高めるとともに、予防や追跡のための機器や仕組みの導入も検討しましょう。
ソーシャルエンジニアリングの対策を進めよう
ソーシャルエンジニアリングは、高度な技術を用いずに人の油断や行動の隙を突いてくる攻撃です。
ソーシャルエンジニアリングの手口や具体例を知っておくだけでも、実際に遭遇した際に冷静に判断できる可能性が高まるでしょう。
また、ルールの策定や事例の周知で組織的に対策を図ることが大切です。
ソーシャルエンジニアリング攻撃をきっかけに社内システムに不正アクセスやマルウェア感染があった場合でも、オンラインストレージ上に情報を置いておけば被害の拡大を防げます。
オンラインストレージを利用する場合は、無料から始められてセキュリティ対策も万全な、セキュアSAMBAをご検討ください。