ソーシャルエンジニアリングの手口とは？その内容や対策を徹底解説

ソーシャルエンジニアリングによる攻撃により、さまざまな企業で金銭的な被害や重要情報の漏えいが発生しています。この記事では、ソーシャルエンジニアリングの概要と攻撃の種類、そして対策方法まで詳しく解説します。

また、LRMではソーシャルエンジニアリングの代表的な手法と対策方法を実例付きで学べる資料を無料で配布しています。ぜひご活用ください。

ソーシャルエンジニアリングについておさらい

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法のことです。
攻撃者は、人間の心理的な隙や行動のミスに巧妙につけ込み、企業への不正アクセスに必要な情報を収集します。
一つの手法ではなく複数の手法を組み合わせることで、攻撃に気づかれにくいように情報を盗み出すこともあります。

極端な例だと、社内の同僚の手の動きなどをみてパスワードを記憶することも、身近なソーシャルエンジニアリングです。

昨今話題となった「標的型攻撃」も、ターゲットの情報をできるだけ詳細に集める必要があり、この際に用いられる行為もソーシャルエンジニアリング的手法だと言われています。

ソーシャルエンジニアリングに用いられる手法と対策

では、ソーシャルエンジニアリングには、具体的にどんな手法が用いられるのでしょうか。

バイティング

手口

バイティングとは、有益なソフトウェアやアプリケーションになりすまして、ユーザーにダウンロードさせる方法です。
トロイの木馬の感染経路として知られており、ドライブバイダウンロードとも呼ばれます。

対策

職場で許可されていないアプリケーションの利用(シャドーIT)をしないこと、また、AppStoreをはじめとする公式サイト以外からはソフトウェアをダウンロードしないことが大切です。
ダウンロードの是非に迷う場合は、社内の担当部署に問い合わせましょう。

フィッシング

手口

フィッシングとは、偽のWebサイト上でユーザーにIDやパスワードを入力させ、それをそのまま盗み取る攻撃です。

対策

メールやSMSに記載されたURLやSNSで投稿された不審なURLは開かないようにしましょう。
代わりに、お気に入り登録やGoogle等の検索結果からアクセスしましょう。

ショルダーハッキング

手口

ショルダーハッキングとは、第三者がパスワードなどを入力しているときに、後ろからのぞき込む行動のことです。
オフィス内であっても、パスワードやクレジットカード番号などの重要情報の入力時に、周辺に人がいるかどうか確認することが望ましいです。

対策

業務中、とくに機密情報を扱う際は周囲の人に気を付けることが重要です。
テレワークの際は、なるべく一人になれるかつ施錠のできる空間を利用しましょう。
また、離席時には必ずPCのロックをしましょう。

トラッシング

手口

トラッシング（スキャベジング）とは、ごみ箱に捨てられた紙の資料や記憶媒体などから、サーバーやシステムの設定情報やネットワーク構成図、IPアドレスの一覧や、ユーザー名とパスワードなどのターゲットのネットワークに不正アクセスするための情報を探し出す行為です。

対策

トラッシングから防御するためには、資料を廃棄する際に、シュレッダーにかけたり溶解させたりするのが効果的です。

スケアウェア

スケアウェアとは、コンピュータがマルウェアに感染したかのように装い、画面上でユーザーの不安をあおり、マルウェアダウンロードや支払いに誘導する攻撃です。

ブラウザを使っているときに「ウィルスに感染しています」や「システムが破損しています」などの偽の警告が、ポップアップで表示されることがありますが、これがスケアウェアです。

対策

スケアウェアの存在を認識し、怪しい警告が表示されても驚いてクリックしたり情報を入力したりしないようにしましょう。
ポップアップをブロックするソフトウェアの利用も考えられます。

プリテキスティング

手口

プリテキスティングとは、最初はターゲットに対してもっともらしい話をしてターゲットに関心をひき、最終的にユーザーをだまして銀行口座などの重要情報を盗み出す手口です。

対策

当たり前ですが、部外者に情報を伝えないようにしましょう。
とくに、電話口でIDやパスワードも含めた機密情報を話すことはご法度です。

リバースソーシャルエンジニアリング

手口

リバースソーシャルエンジニアリングとは、ソーシャルエンジニアリングを逆に利用したものです。
具体的には、ターゲットから攻撃者にコンタクトを取らせ、その際に攻撃者がターゲットから情報を盗み出す手法のことです。
電話番号の変更のお知らせのふりをするなど、巧みにターゲットからの連絡を促します。

対策

標的型攻撃への対策と同じですが、不審なメールや連絡は開封・クリックしない事につきます。
どうしても確認が必要な場合は、よく送信元を確認する、リンクはメール記載のものではなく検索して開く、社内のセキュリティ部門に確認を取る、といった対応が必要です。

ビッシング

手口

ビッシングとは、攻撃者がSMSやメールなどを使い特定の電話番号を通知してユーザーに電話をさせ、攻撃者があらかじめ作成しておいた自動音声応答システムにより、ユーザーから個人情報などを盗み出す手口です。

対策

不審な電話には応答しない、不審な電話ではIDやパスワードを教えないようにしましょう。
登録外の番号からの着信には特に用心し、要件が気になる場合は、該当の番号を検索してみて安全を確認する、代表番号にかけ直す、などをしましょう。

スミッシング

手口

スミッシングとは、SMSを利用したフィッシング詐欺のことです。SMSに緊急を要する偽のメッセージを送信して、ユーザーに対応を求めます。

ユーザーが受信したSMSには電話番号やWebサイトのURLなどが記載されており、ユーザーに電話をさせたり、Webサイトに訪問させたりして、個人情報や重要情報を入力させて盗みます。

対策

SMSに記載のリンクは開かないようにし、ブラウザのお気に入り登録やGoogleなどの検索結果から該当ページへアクセスしましょう。

メールハッキング

手口

メールハッキングとは、ターゲットのメールアカウントをハッキングして不正にメールを盗み読むことです。

対策

まずはメールの認証情報が盗まれないよう、基本的なセキュリティ対策を徹底しましょう。
また、万が一メールハッキングされても被害が少ないように、メール上での機密情報のやりとりはなるべく控えましょう。

ファーミング

手口

ファーミングとは、DNSの情報を書き換えて正規のサイトに成り代わる等の方法で、閲覧者を偽のURLのWebサイトへ誘導し、ユーザーに個人情報や機密情報を入力させる手法です。

フィッシングが魚釣り(fishing)を語源の一つに持つのとは反対に、農場経営(farming)を語源に持ちます。このことからわかるように、自動的かつ大規模な攻撃です。

対策

メールの添付ファイルに含まれていた不正なソフトウェアがファーミングを誘発する場合や、端末が接続しているネットワークが不正なものである場合、そもそものウェブ接続が不正な場合などがあります。

ハンティング

手口

これは、特定の攻撃手法を指すというよりは、餌を仕掛けてターゲットを狩るような多くの攻撃のことをさします。狩り(hunting)を語源に持ちます。

対策

ここでご紹介している対策を一つ一つ実施しましょう。

釣り餌

手口

釣り餌とは、マルウェアが仕込まれたUSBメモリなどを放置しておき、それを誰かが拾ってパソコンに差し込んだところでマルウェアに感染させる手法のことです。

対策

不審なUSBメモリなどの外部端末は利用しない、そもそもUSBメモリやSDカードなどを使用せずクラウドストレージを利用する、といった対策が挙げられます。
また、業務において許可されていない端末を利用しないようにしましょう。

構内侵入

手口

構内侵入とは、オフィスなどの建物の中に実際に侵入する攻撃のことです。攻撃者は侵入後に、ゴミ箱を探して中からゴミを盗み取ったり、オフィス内のコンピュータを使ってシステムに不正アクセスしたりするなどの行動を取ります。

対策

監視カメラの設置や出入り口の警備、入退室の記録といったセキュリティ対策を実施しましょう。
また、重要な書類や端末を廃棄する際は必ず中身がわからないようにしてから廃棄しましょう。

ソーシャルエンジニアリングの被害事例

ソーシャルエンジニアリングの被害事例について3つご紹介します。

3億8千万円を振り込む金銭被害

2017年にJAL（日本航空）がリバースソーシャルエンジニアリングの被害にあった事例です。クライアントになりすました攻撃者から、リース費用の振込先変更のメールが届き、新しい偽の振込先におよそ3億6000万円を振り込みました。

偽の振込先に振込後に、正規の振込先から支払いの催促が来て発覚しました。

数百億の仮想通貨が流出

仮想通貨の不正流出で話題となったCoincheckが被害にあった事例です。Coincheckが管理していた仮想通貨「NEM」が日本円相当で580億円分流出しました。原因はソーシャルエンジニアリングだったといわれています。

攻撃者はCoincheckの社員と接触して管理者権限を持つ技術者を調査し、その後、時間をかけて関係を築いたところで、ウィルス付きのメールを送付しました。その後、Coincheckの従業員のパソコンにウィルスが感染し、流出という結果につながりました。

研修医の氏名と携帯電話番号が流出

2018年に公立病院で医師を騙った攻撃者によって、研修医52名分の氏名と携帯電話番号が漏えいした事件が発生しました。攻撃者は電話を使い、病院の事務員に対して個人情報を尋ね、対応した事務員は口頭で研修医の情報を伝えました。

電話後に不審に思った上司が電話の内容について確認し、虚偽の問い合わせであったと判明しました。

ソーシャルエンジニアリングが広まる背景

ソーシャルエンジニアリングが広まる背景として、成功すれば数億円以上の金銭を得ることも不可能ではないことがあげられます。

現在、インターネット上では個人情報や重要情報を奪うサイバー攻撃の手口にもさまざまなものが登場してきました。
過去にも攻撃者は、あの手この手でターゲットの情報を奪い取ろうとしてきています。
それらの情報を奪うサイバー攻撃には、技術的に高度なものもありますが、セキュリティ対策ソフトの導入などで防ぐことができるものも少なくありません。

たとえばターゲットをマルウェアに感染させて情報を奪うような手口の多くは、不特定多数に対するサイバー攻撃であり、ターゲットが適切に対策を講じていれば、その多くは防御可能です。

そこで攻撃者は、不特定多数ではなく特定のターゲットに絞って執拗に攻撃を仕掛けることで、より高い確率で金銭を得ようと目論むようになりました。
このような攻撃者の思考の変化がソーシャルエンジニアリングというサイバー攻撃を生み出したのです。

複雑化するソーシャルエンジニアリング

ソーシャルエンジニアリングという攻撃手法が広く知られるようになり、それにつれてAIなどを悪用した、ソーシャルエンジニアリングの複雑化が進んでいます。

2019年にイギリスで発生したAIを悪用した振り込め詐欺の被害の例があげられます。犯人はAIを悪用して声を合成、ターゲットに電話をかけ、日本円にしておよそ2,600万円を振り込ませました。

2017年には、カナダのスタートアップ「Lyrebird」が世界初のボイスイミテーション・アルゴリズムという技術を開発しました。
これは、話し声を1分記録して分析するだけで、声を模倣できるだけでなく、その人のアクセントやイントネーションまで真似ることもできます。

さらに画像や動画の模倣ができる「ディープフェイク」と呼ばれる技術も登場しました。例えばビデオ会議やビデオメッセージによる詐欺など、新たな形でのネット詐欺が出る可能性があります。

世界中で蔓延しているビジネスメール詐欺による被害も深刻です。
ビジネスメール詐欺とは、標的組織の業務メールを盗み見て得た情報をもとに攻撃する手法のことです。
情報処理推進機構が公開している「情報セキュリティ10大脅威 2020」では、組織カテゴリで「ビジネスメール詐欺による金銭被害」が8位にランクインしています。

ビジネスメール詐欺は、まずフィッシング攻撃から始まります。ターゲットのコンピュータにマルウェアに感染させ、メールを不正に閲覧し、情報収集します。情報が集まったら、タイミングを見計らい、取引先、経営者、同僚といった近しい人物や、ときには弁護士などを騙り、銀行口座の振込先変更などの手口を使い、金銭を要求して偽の口座に振り込ませます。

巧妙なビジネスメール詐欺やフィッシングに従業員が引っかかってしまわないよう、標的型攻撃メール訓練の実施をおすすめします。
LRMのセキュリオでは、コンサルタント監修の高品質な教材や独自のセキュリティアウェアネスと組み合わせて、効果につながる標的型攻撃メール訓練の実施が可能です。

まとめ

ソーシャルエンジニアリングの手口・内容や対策について解説しました。
近年では徳敵の企業を執拗に付け狙う標的型攻撃の準備としてこうしたソーシャルエンジニアリング的手法が多く用いられ、複雑化しています。
また、リモートワークの普及で、ソーシャルエンジニアリングのやりやすさはかなり増しています。

といったことを守ってソーシャルエンジニアリングの被害を防ぎ、会社を重大なインシデント・信用失墜から守りましょう。