悪意のある人物からの攻撃は、脆弱性を狙ったサイバー攻撃や高度な技術でハッキングだけでなく、アナログな手法であるソーシャルエンジニアリングを利用するケースもあります。
誰もが被害に遭うリスクのあるソーシャルエンジニアリングについて、知識を正しく身に着けて対策に活かすことが大切です。
情報セキュリティ対策のなかでも、身近に起こり得るソーシャルエンジニアリングの手口や手法、ソーシャルエンジニアリングの種類について確認していきましょう。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、人間の行動のミスや心理的な隙につけこんで個人情報を入手する攻撃のことを指します。
ウイルス感染させたりサイバー攻撃をせずにパスワードを不正に入手する手口が多く、ソーシャルハッキングやソーシャルクラッキングとも呼ばれています。
特別に知識や技術がなくても誰でもやろうと思えばやれてしまう可能性のあるソーシャルエンジニアリングですが、ソーシャルエンジニアリングによって大きな被害やトラブルに発展する場合もあるので、セキュリティ対策の一環として対策が求められます。
ソーシャルエンジニアリングの危険性
パスワードの不正入手と聞けば、セキュリティソフトをいれたり、フィッシングに引っかからないようにURLを安易にクリックしないようにするなどのセキュリティ対策を施すことである程度は安心できると思われる方も多いと思います。
しかし、ソーシャルエンジニアリングは情報技術を使わずに油断や思い込みを利用してアナログな手法でパスワード入手を試みることが多いので、それだけでは防ぐことはできません。
また、ソーシャルエンジニアリングは、サイバー攻撃のように高度な技術を必要としないため、誰でも実行することができてしまいます。
さらに日常生活の何気ない行動からパスワードを入手される恐れがあるので誰でも被害に遭う可能性があるので危険性が高い手口となります。
ソーシャルエンジニアリングの手口や手法の種類
ソーシャルエンジニアリングという単語だけみると、高度な技術のようなイメージをもってしまうかもしれませんが、多くの手口は誰でも実行できるアナログなものです。
ソーシャルエンジニアリングの手口や手法をそれぞれ解説していきます。
フィッシング
フィッシングは、本物そっくりの偽サイトを構築して不特定多数を誘導し、IDやパスワードなどの個人情報を抜き取る手口です。
たとえば、パスワードの変更が必要である旨とAmazonや楽天にそっくりな偽サイトのURLを記載したSMSを送信し、クリックしたユーザーにログインを促し、ログイン情報を盗むケースなどがあります。
フィッシングは内部というよりも外部からのソーシャルエンジニアリングと言えるでしょう。
スピアフィッシング
スピアフィッシングは、フィッシングの手法のひとつでターゲットを定めて攻撃することを言います。
槍を突きさすように相手に狙いを定めるという由来からこう呼ばれるようになりました。
たとえば、誰でも利用している可能性があるAmazonや楽天ユーザーを狙うのではなく、A社と取引のあるB社に狙いを定めて、A社を騙ったビジネスメールを送信するケースなどがあります。
ショルダーハッキング
ショルダーハッキングは肩越しに盗み見るという意味を持ち、その名の通りにターゲットがパスワードを入力する際のタイピング操作や入力画面を後ろから覗き見る手口で、いわゆる覗き見です。
普段から気を付けている人もたくさんいますが、油断していると被害に遭う可能性があるので注意が必要です。
スケアウェア
スケアウェアは、怖いソフトウェアを組み合わせた造語で、ターゲットの恐怖心を煽って個人情報を抜き取ったり、金銭要求を行うことを目的としたマルウェアの1種です。
WEBサイトを閲覧中に「ウイルスに感染しました」や「Windowsが破損しています」などのポップアップメッセージが表示されたことがある方も多いかと思います。
そのように恐怖心を煽って個人情報を詐取することがあるので、指示に従わずにすぐにウインドウを閉じるようにしてください。
プリテキスティング
プリテキスティングは、身分や身元を偽ってユーザーの信頼を得ることで個人情報を入手する手口で、なりすましの一種です。
たとえば、自社の情報管理部門を偽ってユーザーにIDとパスワードを聞いたり、逆に本人だと装って情報を聞き出すケースがあります。
トラッシング
トラッシングは、ゴミ箱漁りのことを言います。
ゴミ箱漁りは比喩ではなく、文字通りに物理的にゴミ箱から情報を探す手法です。
パスワードをメモした紙をシュレッダーにかけずにゴミ箱に捨てていると、悪意のある人に不正利用されてしまう恐れがあります。
マルウェア
マルウェアの中には、感染した端末に保存している情報を攻撃者に不正送信して情報詐取するスパイウェアと呼ばれるものがあります。
感染してしまうと、IDやパスワードやクレジットカードなどの情報が漏洩してしまう恐ろしいマルウェアなので、感染対策が必須です。
本人から情報を聞き出す
ソーシャルエンジニアリングの中には、本人から直接情報を聞き出すという手法があります。
そんな馬鹿なと思われる方もいらっしゃると思いますが、実際に被害は少なくありません。
たとえば、家族のふりをして利用サービスのIDとパスワードを電話で聞き出したりと、他人になりすますことで信頼させて情報を聞くケースがほとんどです。
リバース・ソーシャル・エンジニアリング
ソーシャルエンジニアリングは、攻撃者がターゲットに対して攻撃を仕掛けるのに対して、リバース・ソーシャル・エンジニアリングはターゲットから攻撃者に行動を促す手口のことを言います。
「電話番号が変更になりました」などのメールを送って、ターゲットから連絡をさせる手法です。
ファーミング
ファーミングは、フィッシングの進化版のようなもので、正しいURLにアクセスしても偽サイトが表示されるようにシステム変更する手口です。
URLは正規なものなので偽物との判断がつきにくく、情報詐取の被害に遭いやすい危険な手法となっています。
テールゲーティング
テールゲーティングは、不正な方法で物理的にオフィスなどに侵入する手口です。
偽の社員証を作成して警備の目を潜り抜けたり、正規の社員が入場に合わせて一緒にすり抜ける方法などがあります。
オフィスに侵入されてしまうと様々な情報が漏洩してしまう危険性があります。
ソーシャルエンジニアリングの手口にひっかからないためには
ソーシャルエンジニアリングは、人の心理につけこんだアナログな手口が多くあります。
セキュリティソフトの導入やOSの最新化などのセキュリティ対策と合わせて、覗き見防止対策やシュレッダーの徹底など、アナログな手口に対する対策も必要になります。
そのためには、まずは従業員の意識付けが重要になります。
従業員同士に悪意がない場合であっても、個人情報やパスワードの盗み見ができてしまう、安易に情報を話してしまう状態では、いつ何が起きるかわかりません。
ソーシャルエンジニアリングの手法や危険性を理解させた上で、それを防ぐためのリテラシーを向上させることが大切です。
また、新しいソーシャルエンジニアリングの手口も今後登場する可能性があるため、定期的に情報収集や従業員への教育を行うように心がけましょう。
ソーシャルエンジニアリングの手口や種類を理解しよう
ソーシャルエンジニアリングの対策をするためには、ソーシャルエンジニアリングの手口を理解することが必須です。
いつでも誰でもそんなまさかと思う手口で被害に遭う可能性があるため、常に細心の注意を払った言動をするように気をつけましょう。
普段からセキュリティに対する意識を高め必要な対策をしっかりと講じることでソーシャルエンジニアリングを含むセキュリティ脅威の被害防止に努めましょう。