ソーシャルエンジニアリングとは｜巧妙化する手口と実施すべき対策

「ソーシャルエンジニアリングって、具体的にどんな手口があるの？」

「どうすればソーシャルエンジニアリングの被害を防げるのだろう？」

サイバー攻撃の手口が巧妙化する現代において、システムの脆弱性だけでなく、人の心理的な隙を突く「ソーシャルエンジニアリング」への対策が急務となっています。この攻撃によってIDやパスワードなどの機密情報が漏洩すると、金銭的な被害はもちろん、組織としての社会的な信頼を大きく損なう事態に発展しかねません。

本記事では、ソーシャルエンジニアリングについて以下の内容を解説します。

ソーシャルエンジニアリングの基本的な仕組み
代表的な攻撃の手口
実際に起きた事件の事例
被害を防ぐための具体的な対策

本記事を読むことで、ソーシャルエンジニアリングの脅威を正しく理解し、自社を被害から守るための知識が身につくでしょう。企業のセキュリティ担当者の方はもちろん、すべてのビジネスパーソンにご一読いただきたい内容です。

ソーシャルエンジニアリングとは？わかりやすく解説
ソーシャルエンジニアリングの代表的な手口
1. 非技術的な手口
2. 技術的な手口
  1. メール・SMSを悪用したフィッシング
  2. 魅力的なオファーで興味を引くベイティング
実際に起きたソーシャルエンジニアリングの事件
ソーシャルエンジニアリング対策
1. 人的対策
  1. 心当たりのない相手からの連絡には注意する
  2. 社員教育でセキュリティ意識を向上させる
2. 技術的対策
  1. 多要素認証を導入する
  2. ツールを活用して脆弱性を把握する
まとめ｜対策を実行してソーシャルエンジニアリングに備えよう

ソーシャルエンジニアリングとは？わかりやすく解説

ソーシャルエンジニアリングとは、情報通信技術のみに頼るのではなく、人間の心理的な隙や行動のミスを利用して、機密情報などを不正に盗み出す攻撃手法です。ターゲットの信頼や親切心、あるいは恐怖心といった感情を巧みに操り、自ら情報を開示させるよう仕向けるケースもあります。例えば、重要な取引先になりすまし、言葉巧みに信頼関係を構築して情報を聞き出す行為が挙げられます。

このように、ソーシャルエンジニアリングは特定の犯罪手法を指すわけではありません。フィッシング詐欺などデジタルな攻撃もあれば、物理的に情報を盗むアナログな行為も含まれます。つまり、ソーシャルエンジニアリングは心理的な油断や組織の隙を突くことで成立するものであり、誰もが被害者になる可能性があります。

ソーシャルエンジニアリングの代表的な手口

ソーシャルエンジニアリングは、1990年代以前から存在する古典的な攻撃手法です。かつては、企業のサーバーへ接続するために必要な情報を、従業員に電話をかけて直接聞き出すといった非技術的なアプローチが主流でした。

しかし、インターネットが普及した現代では、攻撃の手法がより高度かつ複雑になっています。人間の心理的な隙を突くという本質は変わりませんが、技術的な要素を組み合わせた巧妙な手口が増加しているのです。

ここでは、代表的な手口を大きく「非技術的な手口」と「技術的な手口」の2つに分けて解説します。

非技術的な手口

非技術的な手口とは、コンピューターやネットワークといった情報技術を直接用いず、主に人間の行動や心理的な隙を利用して情報を盗み出す手法です。以下では、代表的な4つの手口を紹介します。

特定の人物を装うなりすまし電話
覗き見するショルダーハッキング
ゴミ箱を漁るトラッシング
偽の身分や状況を装うプリテキスティング

特定の人物を装うなりすまし電話

なりすまし電話は、企業の担当者や公的機関の職員といった信頼できる第三者になりすまし、電話を通じて機密情報を不正に聞き出す古典的な手口です。攻撃者は、声だけのやり取りで相手の顔が見えないという電話の特性を悪用し、ターゲットの油断を誘います。

例えば、システムの利用者になりすましてヘルプデスクに連絡し、言葉巧みに担当者を信用させてパスワードのリセットを依頼するなど、社員や顧客の情報を詐取しようと試みるのです。特殊詐欺においては、警察官や金融機関の職員を名乗ってターゲットに接触し、緊急性を装って冷静な判断力を奪い、重要な個人情報を聞き出すといった悪質な事例もあります。

覗き見するショルダーハッキング

ショルダーハッキングとは、肩越しに相手の画面をのぞき込み、入力中のIDやパスワードを記憶したり、メールや文書に含まれる機密情報を読み取ったりする手口です。

システムへの侵入のように技術ログに残りにくく検知が困難なため、被害に遭ったとしても本人が気づかないまま不正アクセスにつながる可能性が高くなります。さらに、同じパスワードを複数のサービスで使いまわしている場合、一度盗まれた情報がきっかけで別の被害に発展するリスクも少なくありません。

ゴミ箱を漁るトラッシング

トラッシングは、オフィスや家庭のゴミ箱（Trash）をあさり、不要になった書類や記録媒体から個人情報や機密情報を盗み出す手口です。例えば、IDやパスワードを記したメモ、顧客リスト、社外秘の資料などをシュレッダーにかけず捨ててしまうと、悪意のある第三者に重要な情報を不正利用される可能性があります。

この脅威は紙媒体に限りません。データを完全に消去せずに廃棄されたUSBメモリやハードディスクなども、情報を窃取されるリスクを抱えています。

偽の身分や状況を装うプリテキスティング

プリテキスティングとは、もっともらしい口実（プリテキスト）を作り出し、ターゲットを信用させて機密情報を引き出す手口です。攻撃者は、警察官や銀行の担当者といった権威のある人物になりすまし、あたかも正当な理由で情報を求めているかのように振る舞います。こうした心理操作が本質であるため非技術的な手口に分類されますが、実際には端末操作を促すなど技術的な行為を伴う場合もあります。

典型的な例を挙げると、「セキュリティ侵害が発生している」などと被害者を不安にさせ、問題を解決するためにアカウント情報や認証コードの提供を求める手口があります。また、「こちらで対応するので一時的に端末を操作させてほしい」と持ちかけ、パソコンやスマートフォンを遠隔操作させることも少なくありません。

この攻撃の恐ろしい点は、表面的には正規のサポートや公式の依頼に見えてしまうため、被害者が疑いにくいことです。冷静に状況を判断できなければ、知らぬ間に重要な情報を差し出してしまう危険があります。

技術的な手口

技術的な手口とは、メールやWebサイト、SNSといった情報通信技術を悪用し、人間の心理的な隙を突く攻撃手法です。インターネットを介して不特定多数に攻撃を仕掛けられる点が大きな特徴といえます。

ここでは、数ある技術的な手口の中から代表的な2つの手法について解説します。

メール・SMSを悪用したフィッシング
魅力的なオファーで興味を引くベイティング

メール・SMSを悪用したフィッシング

フィッシングは、実在する企業や公的機関になりすましてメールやSMSを送りつけ、偽のWebサイトに誘導して個人情報を盗み出すサイバー攻撃です。攻撃者は、ユーザーの不安や好奇心を巧みに利用した件名や本文を作成し、記載されたリンクをクリックさせようとします。誘導先の偽サイトは本物そっくりに作られているため、多くの人が気づかぬうちにIDやパスワードといった重要な情報を入力してしまいます。

この手口では、宅配業者や金融機関、大手通販サイトなど、受信者にとって身近なサービスを装うのが一般的です。そのため、正規の連絡だと信じ込みやすく、被害に遭うケースが後を絶ちません。

攻撃の目的はパスワードやアカウント番号の詐取に限りません。さらなる攻撃の足がかりとするために、生年月日や家族の名前といった、一見すると無害に思える個人情報を引き出すこともあるため注意が必要です。

魅力的なオファーで興味を引くベイティング

ベイティングは、「釣り餌（ベイト）」を使い、ターゲットの欲や好奇心に働きかけるソーシャルエンジニアリングの手法です。「無料の映画が見放題」「最新のゲームをダウンロード」といった魅力的なオファーを提示し、マルウェアに感染したファイルをダウンロードさせたり、個人情報を入力させたりするように誘導します。なお、ベイティングはUSBメモリなどの物理的な“餌”を使うケースもあり、非技術的なソーシャルエンジニアリングに分類されることもあります。

また攻撃者は、ユーザーが魅力的なオファーを受け入れるために入力したパスワードを、他の重要なサイトでも使い回していることを期待しています。もし同じパスワードが利用されていれば、攻撃者は他のアカウントにも不正にアクセスできるようになる危険も。さらなる個人情報を盗み出したり、ダークウェブで情報を売買したりするなど、被害が深刻化する可能性があります。

実際に起きたソーシャルエンジニアリングの事件

ソーシャルエンジニアリングは、決して他人事ではありません。国内でも、人間の心理的な隙を突かれたことによる情報漏洩事件が実際に発生しています。ここでは、代表的な2つの事例を紹介します。

1つ目は、なりすまし電話によって個人情報が流出した事例です。医師を名乗る人物が病院に電話をかけ、そこで勤務する研修医の氏名や携帯電話番号を問い合わせました。職員は正規の問い合わせと誤認して口頭で回答してしまい、結果として個人情報が不正に流出。このケースは、電話という日常的な手段を利用して信頼を装い、情報を得る典型的なソーシャルエンジニアリングの一例です。

2つ目は、学術機関の職員を装ったメールが原因で情報漏洩に発展したケースです。この事例では、「セミナーの案内状」と称するウイルス付きのファイルがメールに添付されていました。職員がこのファイルを開封したことで、端末がマルウェアに感染。組織が注意喚起を行った後も同様のメールを開封する職員が後を絶たず、被害が大きく拡大する事態となりました。業務に関係がありそうな巧妙な内容で、受信者の警戒心を解いたことが被害拡大の一因と考えられます。

今回紹介した事例は公共機関や医療機関ですが、企業を狙った事件も多数報告されています。自社には関係ないと思わず、次章で紹介する対策をしっかり実施しましょう。

ソーシャルエンジニアリング対策

ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスを悪用する攻撃です。そのため、被害を未然に防ぐには、多角的な視点から対策を講じる必要があります。

具体的には、従業員一人ひとりのセキュリティ意識を高める「人的対策」と、万が一の事態に備えてシステム面でセキュリティを強化する「技術的な対策」の両輪で進めることが不可欠です。

人的対策

ソーシャルエンジニアリングを防止するには、従業員一人ひとりがその手口を正しく理解し、高いセキュリティ意識を持って行動することが何よりも重要になります。具体的な対策は次の2つです。

心当たりのない相手からの連絡には注意する
社員教育でセキュリティ意識を向上させる

心当たりのない相手からの連絡には注意する

ソーシャルエンジニアリングへのもっとも基本的かつ効果的な対策は、心当たりのない相手からの電話やメールには安易に応じないことです。攻撃者は、公的機関や有名企業といった信頼できる組織を名乗り、「緊急のご連絡」や「重要なお知らせ」といった言葉でターゲットの危機感を煽ってきます。このように不安を掻き立てられると、つい内容を確認したくなるのが人間の心理です。

しかし、その好奇心に従って安易にメールを開いたり、記載されたURLをクリックしたりすると、マルウェアに感染させられたり、本物そっくりの偽サイトへ誘導されたりするおそれがあります。少しでも不審に感じたメールは、すぐに添付ファイルやURLを開くことなく、確認してから対応することが重要です。

社員教育でセキュリティ意識を向上させる

ソーシャルエンジニアリングは人間の心理的な隙を突く攻撃であるため、従業員一人ひとりのセキュリティ意識を向上させることが非常に重要な対策です。組織として個人情報や機密情報の取り扱いに関する明確なルールを策定し、定期的な研修などを通じて全従業員にその内容を浸透させる必要があります。具体的に、以下のような行動を徹底させましょう。

電話やメールで個人情報を尋ねられた場合、その場で回答せず必ず上司や担当部署に確認する
離席時にはパソコンやスマートフォンを必ずロックし、第三者に操作されないようにする
機密情報の取り扱いに注意し、カフェや共有ワークスペースなどでの業務は避ける

こうした社内研修や定期的な意識啓発を通じて、従業員が日常的にリスクを想定できるようになれば、組織全体の防御力を大きく高められるでしょう。

技術的対策

従業員のセキュリティ意識を高める人的対策は非常に重要ですが、攻撃の手口は日々巧妙化しており、人間が常に完璧に対応することは困難といえるでしょう。どれだけ注意を払っていても、巧妙に仕組まれた罠に騙されてしまう可能性をゼロにはできません。

そこで不可欠となるのが、万が一ソーシャルエンジニアリングによってIDやパスワードが盗まれてしまったとしても、その先の被害を食い止める以下のような技術的な対策です。

多要素認証を導入する
ツールを活用して脆弱性を把握する

多要素認証を導入する

多要素認証（MFA）は、複数の認証要素を組み合わせてセキュリティを高める仕組みです。IDとパスワードのような「知識情報」、スマートフォンやICカードといった本人が所有する「所持情報」、指紋や顔などの「生体情報」のうち、2種類以上を組み合わせて本人確認を行うことで、不正ログインのリスクを大幅に低減させられます。

多要素認証を導入していれば、仮に攻撃者にIDとパスワードを盗まれたとしても、それだけではログインを完了させられません。不正ログインを試みた際に、本人のスマートフォンに送られる確認コードの入力や、指紋認証といった第二の認証が要求されるため、成功率を大幅に下げられるでしょう。

最近はオンラインストレージやクラウドサービスなど、多くの業務システムでログインを前提とした利用が行われています。IDとパスワードのみに頼る認証の脆弱性を補うためにも、多要素認証の導入は情報資産を守る上で不可欠といえるでしょう。

ツールを活用して脆弱性を把握する

万が一ソーシャルエンジニアリングによって認証情報を盗まれてしまった場合でも、その後の被害拡大を抑えるために、自社システムの脆弱性を事前に把握しておくことは重要です。攻撃者は盗み出したIDとパスワードを足がかりに、システムのさらなる深部へと侵入しようと試みます。このとき、システムにセキュリティ上の弱点（脆弱性）が存在すると、不正アクセスや情報窃取を容易に許してしまう結果になりかねません。

そこで有効となるのが、脆弱性診断ツールの活用です。定期的に診断を行うことで、自社システムのどこに危険性があるのかを早期に発見し、攻撃を受ける前に修正が可能になります。人を騙す手口そのものを防ぐ直接的な対策ではありませんが、攻撃の次のステップであるシステムへの侵入を防ぎ、被害が組織全体に広がるのを食い止める上で、不可欠な防御策です。

▼関連記事

まとめ｜対策を実行してソーシャルエンジニアリングに備えよう

ソーシャルエンジニアリングは、人間の心理や行動の隙を突く古くからある攻撃手法です。電話や直接のやり取りで情報を盗み出す非技術的なものから、メールやSMSを悪用するフィッシングなど高度化した技術的なものまで、手口は多岐にわたります。被害に遭ってしまうと、個人情報や機密情報の漏洩だけでなく、企業や組織の信頼失墜にもつながるため、日常的な警戒が欠かせません。

具体的な対策としては、以下の4点が挙げられます。