ソーシャルエンジニアリングとは？
意味や攻撃の手口・被害事例・対策を解説

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングとは、会社やコミュニティのネットワークに入るために必要となるパスワード、アカウント情報などの重要な情報を、インターネットなどの情報通信を介さずに入手する方法のことです。
重要なもので言えばサイバー攻撃、身近なもので言えば家族のパソコンやスマートフォンのパスワードを覗き見ることもソーシャルエンジニアリングに入ります。

サイバー攻撃など犯罪手法としての意味も

ソーシャルエンジニアリングには、犯罪手法という意味合いも含まれており、かつては「ソーシャル・ハッキング」とも呼ばれていました。
ソーシャルエンジニアリングの特徴は、ターゲットの社会的な関係を巧妙に利用する点です。例えば、会社の上司や重要な取引先になりすまし、嘘で信頼関係を構築して情報収集を行うなど、人間心理を巧妙に利用してきます。
つまり、ソーシャルエンジニアリングは特定の犯罪手法というわけではなく、デジタルでもアナログでもユーザの心理、システムの構造的な隙をついて詐欺やハッキングをする手法ということです。

増えつつある企業へのサプライチェーン攻撃手法について

大手企業でも近年はセキュリティ対策が強化され、システム面はもちろん、犯罪防止対策マニュアルが整備されてきました。資金力・人材ともに十分な大手企業に比べると、中小企業はセキュリティに十分なリソースを割くのが難しい現状があります。
そのため、ソーシャルエンジニアリングでは、中小企業を経由して大企業への攻撃を行うのが常套手段となっており、中小企業はターゲットにされやすいのが近年の傾向です。
この攻撃手法を「サプライチェーン攻撃」と呼んでおり、企業が原材料の調達や商品製造、運搬などの一連の流れを構成するサプライチェーンに対し、攻撃を加えることを表しています。

サプライチェーンでは、企業同士が取引にまつわるメールなどのやり取りをしており、ソーシャルエンジニアリングはやり取りの一部になりすまし、情報を抜き取ろうとします。
企業側もなりすましには警戒しているものの、誤ってメールを開封してしまえば、そこから情報が抜き取られることもあるのがソーシャルエンジニアリングです。
いわゆるマルウェアを企業のネットワークに送りつけ、中小企業から大手企業の情報を狙う攻撃が増えています。

ソーシャルエンジニアリングの主な手口・手法と対策方法

ソーシャルエンジニアリングについて、主な手口・手法とその対策について解説します。

1.なりすましを利用して電話で聞き出す

昔から知られているソーシャルエンジニアリングの手法として、特定の人物になりすまして電話で情報を聞き出す手法があります。電話という声だけのやり取り、対面ではないからこそ相手の油断を誘いやすく、古典的ですが情報を入手しやすい方法です。
ターゲットとなる企業やサービスの情報を入手できれば、利用者になりすまして担当者に電話をかけ、社員や顧客の情報、パスワードなどを聞き出します。近年の特殊詐欺では、警察官になりすましてターゲットを油断させ、パスワードを聞き出すこともあります。
企業にできる対策としては、電話口ではパスワードや企業情報などを伝えないことを厳格化することです。
時には相手が怒った口調でまくし立てたり、惑わせるようなことを言ってくることもありますが、電話対応のルールを決めて社内で統一しておけば、対応に迷うことはありません。

2.のぞき見をする（ショルダーハッキング）

ショルダーハッキングは、肩越しにパスワードを覗き見る動作から名づけられたソーシャルエンジニアリングの手法です。電車内やカフェ、職場などでパソコンまたはスマートフォンを操作している際、さりげなく近づいて肩越しにパスワードなどを覗き見ます。 こちらも古典的な方法ですが、パスワードを使いまわしている方も多いことから、パスワードを知られてしまうと大きな被害に繋がりやすいソーシャルエンジニアリングの手法です。
物理的に覗き見られることが問題となるため、対策としては電車やカフェなど人の目がある環境ではパスワードを入力しないことが一番の対策になります。どうしても入力が必要な場合は、壁を背にして隣に人がいないことを確認してから入力しましょう。

3.ゴミ箱を漁る（トラッシング）

意外と盲点になっているのが、ごみ箱に重要な情報を捨てているケースです。例えごみ袋に入れて出したとしても、ごみ袋を漁られたり、半透明で文字が透けていたりすることはあり得ます。
トラッシングもソーシャルエンジニアリングではよくある手法で、捨てられた資料名や記述内容から、サーバやルータのパスワードを読み取られることがあります。ネットワークに侵入されてしまえば、社内のIPアドレスやネットワークの情報を自由に閲覧できてしまうため、トラッシングには注意しなければなりません。
対策としては、重要な情報を第三者が閲覧できないように、物理的にもシステム的にもロックを掛けておくことです。また、情報を廃棄する際はそのままごみ箱に捨てるのではなく、紙媒体はシュレッダーにかけましょう。CD-ROMやUSBなどの記憶媒体にデータがある場合は、データを完全に消去してから廃棄してください。
以後使用することがない場合は、物理的に破壊してしまう方法でも問題ありません。

4.スピアフィッシング攻撃

スピアフィッシングは、フィッシングの手法の一つです。「スピア（槍）」という名称が表す通り、槍を突き刺すように特定の相手に狙いを定めて攻撃する方法です。
一般的なフィッシングは不特定多数をターゲットにしていますが、スピアフィッシングは特定のターゲットを集中的に攻撃します。ターゲットに応じて攻撃手法を変えることから、通常のフィッシングに比べて成功率が高い点が特徴です。
スピアフィッシングでは、会社の従業員や関連会社の社員、取引先などを装ってフィッシングを行ってくることから、騙されやすい手法です。
対策としては、不審なメールは開封しないこと、メールサーバ側で不審なメールはブロックすること、マルウェア対策を行うなどでしょう。不審なメールはそもそもシステム側でシャットアウトできれば、スピアフィッシングのターゲットにされることもありません。

5.マルウェア感染（スパイウェア）で盗み取る

スパイウェアは感染することで端末内の情報を盗み取り、悪意ある第三者へと情報を送信するソフトウェアです。ネットワークを介して社内のパソコンに感染させ、IDやパスワードなどの重要情報を抜き取る際にも利用されます。
できる対策としては、セキュリティツールの導入、ソフトウェアを最新の状態に更新すること、社内ルールの周知・徹底です。
特に重要となるのが、従業員に社内ルールを周知し、不用意に外部ネットワークへと接続しないこと、そして外部から記憶媒体やファイルを持ち込まないことです。

6.リバース・ソーシャル・エンジニアリング

ソーシャルエンジニアリングの代表的な方法は、会社に関係する誰かになりすまして重要な情報を引き出す手法です。
一方、リバース・ソーシャル・エンジニアリングは、メールなどでパスワードの更新通知やサポート番号の変更をアナウンスし、ターゲットが主体的に連絡を行うように仕向ける手法です。
対策としては、重要な通知はメールを使用せずに別の方法に統一すること、メールへの対応を社内ルールで統一すること、外部からの不審なメールはシステム側で判別してもらうことなどがあります。

7.SNSを悪用して情報を抜き取る

匿名性の高いSNSを利用し、特定の人物になりすましてターゲットの情報を抜き取る手法もあります。即効性はないものの、時間をかけて信頼を築くことから、ターゲットも騙されたと気付きにくい点が特徴です。
対策としては、SNSの使い方について社内で教育を行うこと、仕事用のスマホではSNSをしないことです。また、プライベートで企業情報の流出を防ぐため、SNS上で企業名や部署が特定できる発信をしないことも対策になります。

ソーシャルエンジニアリングの被害事例

ソーシャルエンジニアリングでは、実際に被害の実例も多く出ています。どのような被害事例があるのか紹介します。

事例1.偽振込による被害

A社のクライアントになりすまし、費用の振込先変更を通知するメールが届いた。担当者は偽の振込先に振り込んでしまい、後に正規の振込先から支払いの遅延を指摘されて発覚した事例です。
この被害ではリバース・ソーシャル・エンジニアリングの手法が使われました。

事例2.仮想通貨流出

仮想通貨を取り扱うB社で、仮想通貨が流出した事件もあります。攻撃者はスピアフィッシングと人間心理を悪用した手法で、管理者を特定しました。
攻撃者はB社の社員と接触することで管理者権限を持つ担当者を特定し、管理者権限を持つ社員との信頼関係を構築したところで、スパイウェア付のメールを送付しました。
担当者のパソコンを経由してウィルスに感染し、同社が保管していた仮想通貨が流出した事件です。

事例3.職員の個人情報流出

攻撃者はC社の事務員に電話し、関係者を騙って研修者の個人情報を尋ねました。電話対応した事務員は口頭で研修者の氏名・携帯電話番号を伝えてしまい、後に電話内容を不審に思った上司の確認で発覚しました。

事例4.なりすましによるアカウント乗っ取り

SNSアカウントの乗っ取り事件もあります。有名人のアカウントが複数乗っ取られ、社会的な影響力も大きなソーシャルエンジニアリングとして知られるような大きな事件も発生しています。
乗っ取られたアカウントから、世界中に詐欺メッセージが送信され、世界的に被害が拡大した事件もあります。攻撃者は電話でSNSの社員からパスワードを聞き出し、アカウントの乗っ取りに成功したことが後に判明しました。

事例5.マルウェア感染による情報漏えい事件

D機関に所属する職員に対し、メールで業務に関する提言を装った通知が届きました。職員がメールを開封したことで、添付されていたマルウェアに端末が感染しました。
端末からの不審な通信が生じたことにより、感染端末の隔離と職員への注意喚起が行われましたが、注意喚起が行き渡っておらず、結果として次々とマルウェアへの感染が起こってしまいます。
こういったマルウェア感染では、感染後の調査により感染した端末から、当該機関が取り扱う大量の個人情報が流出していたことが発覚することもあります。

ソーシャルエンジニアリングを利用する攻撃者の特徴とは？

ソーシャルエンジニアリングを利用した攻撃者には、ある一定の特徴や傾向があります。特徴を知ることで、なりすましや嘘に騙されない心構えを持ちましょう。

特徴1.危機感を持たせようとする

ソーシャルエンジニアリングでよくある特徴として、見た人に危機感を持たせるキーワードを多用する傾向があります。例えば、以下のキーワードが頻繁に使用されます。

●至急確認をお願いします
●重要なお知らせ
●至急開封
●緊急連絡

このようなメールや通知が届くと、何もなかったとしても「何事だろう」と気になってしまいます。そうして気になった人がメールを開封すると、マルウェアに感染して情報漏えいのリスクに繋がります。
また、連絡先が記載されている場合、記載された連絡先へと電話すると、特殊詐欺や架空請求で「訴訟」の文字をちらつかせて脅迫するケースもあるため、危機感を煽る文言には特に注意してください。
心当たりのない連絡先からのメールや通知に対しては、たとえ「緊急」と書かれていても徹底して無視しましょう。

特徴2.大胆な行動・言動をする

ソーシャルエンジニアリングでは、ターゲットに怪しまれては騙せないことから、攻撃者は嘘とわからないように大胆な行動・言動を取る傾向があります。
例えば、いかにも掃除をしに来た清掃員を装って、企業や公的機関のごみ箱を漁るトラッシングを行う大胆な攻撃者もいます。おどおどしていたり、きょろきょろと周囲を見回したりする様子が見られれば、「あの人は怪しい」と思うのが普通です。
しかし、掃除をしに来た風を装って堂々としていれば、「ちょっとおかしいな」と思われても、深く気にされることはありません。いつものオフィスに見慣れない顔があるケースや、いつもと違う業者が入ってきたケースでは、本人確認が重要です。
自分の注意力を過信せず、普段と違う人が近づいてきた時には、誰であっても確認する習慣を身に付けましょう。

特徴3.コンピュータベースアタックを行う

コンピュータベースアタックとは、偽の情報を載せたメールや公式ホームページそっくりの偽サイトなど、悪意を持って騙そうとしてくる攻撃手段です。ある程度のコンピュータスキルを持っている者なら、自由にホームページを作成できます。
よく使用されるのは、「Kali Linux」というハッキングやクラッキングのソフトです。インターネット上で簡単にダウンロードできるうえ、HDDやUSBにも出し入れできるため、手軽にハッキングやマルウェアの作成もできてしまいます。
今やインターネット上で簡単にハッキングのツールも入手できることから、コンピュータを使用する人間側で注意するしかありません。怪しいメールやサイトには反応せず、情報を簡単に盗ませないような対策が必要です。