ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、技術的な脆弱性ではなく人間の心理的な弱点を突いて情報を盗み取るサイバー攻撃の手法です。どれほど強固なセキュリティシステムを構築しても、それを操作する人間が騙されてしまえば意味がありません。
セキュリティの世界では「最も脆弱なのは人間である」とよく言われます。ソーシャルエンジニアリングは、まさにこの人間の脆弱性を体系的に悪用する攻撃手法です。
代表的な手口
フィッシング
正規の組織を装ったメールや Web サイトで、ログイン情報や個人情報を入力させる手口です。最も一般的なソーシャルエンジニアリング攻撃であり、全サイバー攻撃の約 36% を占めるとされています。詳しくはメールセキュリティの記事をご覧ください。
スピアフィッシング
特定の個人や組織を標的にした、高度にカスタマイズされたフィッシング攻撃です。ターゲットの個人情報 (役職、同僚の名前、最近の活動など) を事前に調査し、信憑性の高いメールを作成します。
プリテキスティング
架空のシナリオ (プリテキスト) を作り上げて、ターゲットから情報を引き出す手口です。たとえば、IT 部門の担当者を装い「セキュリティ確認のためパスワードを教えてください」と電話するといった手法が用いられます。
ベイティング
USB メモリや CD などの物理的な媒体にマルウェアを仕込み、好奇心から接続させる手口です。「給与一覧」「機密情報」などのラベルを貼り、オフィスの駐車場や共有スペースに放置します。
テールゲーティング
セキュリティゲートやオフィスの入口で、正規の従業員の後ろについて入室する物理的な侵入手法です。荷物を持った人の後ろで「ドアを押さえてもらえますか」と頼むなどの手口が使われます。
クイドプロクオ
「何かを提供する代わりに情報を得る」手口です。たとえば、IT 技術者を装って「パソコンの問題を無料で解決します」と持ちかけ、リモートアクセスを許可させるといった手法です。
ビッシング
Voice Phishing とも呼ばれる、電話を使ったフィッシング攻撃です。銀行やクレジットカード会社を装い、「不正利用が検出されました」などと電話をかけてカード番号や暗証番号を聞き出します。
なぜ人は騙されるのか
ソーシャルエンジニアリングが成功する背景には、人間に共通する心理的傾向があります。
- 権威への服従:上司や公的機関からの指示には従いやすい
- 互恵性:何かをしてもらうと、お返しをしたくなる
- 緊急性:時間的プレッシャーがあると、冷静な判断が難しくなる
- 好意:好感を持った相手の頼みは断りにくい
- 社会的証明:「他の人もやっている」と言われると安心する
- 希少性:「限定」「今だけ」と言われると飛びつきやすい
ソーシャルエンジニアリングから身を守る方法
情報の検証を習慣にする
予期しない連絡 (メール、電話、メッセージ) で個人情報や認証情報を求められた場合は、必ず別の手段で相手の身元を確認してください。メールに記載された電話番号ではなく、公式サイトに掲載されている連絡先に直接問い合わせましょう。
個人情報の公開を最小限にする
SNS で公開している情報 (勤務先、役職、誕生日、家族構成など) は、スピアフィッシングの材料になりえます。公開範囲を見直し、必要以上の情報を公開しないよう心がけましょう。
技術的な対策を併用する
- 二要素認証を有効にする:パスワードが漏洩しても不正ログインを防げる
- パスワードマネージャーを使用する:フィッシングサイトではパスワードが自動入力されないため、偽サイトに気づきやすい
- メールのスパムフィルターを有効にする
- OS とソフトウェアを最新の状態に保つ
「おかしい」と感じたら立ち止まる
少しでも違和感を覚えたら、一度立ち止まって考えてください。急かされている、普段と異なる手順を求められている、話がうますぎる——そうした場合は要注意です。