技術の進化とともに、サイバーセキュリティの脅威も日々変化しています。
その中でも、人間の心理を巧みに利用する「ソーシャルエンジニアリング」は、最新のセキュリティでもすり抜ける危険な攻撃手法として注目されています。
本記事では、ソーシャルエンジニアリングの実態と、私たち一人ひとりができる効果的な対策について、詳しく解説します。
ソーシャルエンジニアリングとは、技術的な手段ではなく、人間の心理的な隙や行動パターンを利用して、機密情報を不正に入手したり、システムに侵入したりする手法です。
攻撃者は、人間の信頼性、同情心、恐怖心などの感情を巧みに操り、被害者から情報を引き出したり、不正な行動を取らせたりします。
この手法が特に危険なのは、最新のセキュリティシステムや高度な技術的対策をすり抜けて、直接「人間」という最も脆弱な部分を標的にするという点です。
ソーシャルエンジニアリングの手口は多岐に渡ります。ここでは、最も一般的でありながら、危険な手口をいくつか紹介します。
これらの手法を理解することは、潜在的な脅威に対する警戒心を高め、自身や組織を守るための第一歩となるでしょう。
なりすましとは、文字通り攻撃者が信頼できる人物や組織になりすまして、被害者から情報を引き出す手法です。
たとえば、以下のような手口が考えられます。
・IT部門の担当者を装い、「システムのアップデートのため」と称してパスワードを聞き出す。
・上司や取引先の幹部になりすまし、メールで急ぎの振込や機密情報の送信を要求する。
・銀行員を装って電話をかけ、口座情報やクレジットカード番号を聞き出す。
攻撃者は、社会的な地位や立場を利用して、被害者に心理的なプレッシャーをかけることで、通常では教えないような情報を引き出そうとします。
スピアフィッシングとは、特定の個人や団体を狙い撃ちするフィッシング詐欺のことです。「フィッシング」とは、フィッシングメールに代表されるように、不特定多数に対して罠を仕掛ける攻撃ですが、スピアフィッシングは特定の人物や企業、組織を狙う点が異なります。
たとえば、以下の手口が考えられます。
・取引先を装った精巧な偽メールを送り、添付ファイルを開かせてマルウェアに感染させる。
・実在する上司の名前でメールを送り、偽のログインページに誘導して認証情報を盗む。
・興味を引く題材(例:コロナウイルス最新情報)で偽のニュースサイトに誘導し、個人情報を入力させる。
このようにスピアフィッシングは、ターゲットに合わせて巧妙に罠を仕掛けるため、見破りにくいのが特徴です。
攻撃者は事前にターゲットの情報を収集し、信憑性の高いメールを作成します。
ショルダーハッキングは、オフィスや公共の場所で、他人の画面や書類をのぞき見て情報を盗む手法です。
たとえば、以下のような手口です。
・オフィスで、同僚がパスワードを入力する様子を観察し、キー入力を推測する。
・電車内で、隣の乗客のスマートフォン画面を覗き見て、SNSのログイン情報を盗む。
・カフェで作業中の人のノートPCの画面から、機密文書の内容を盗み見る。
といった手口で、物理的なセキュリティの隙を突いた攻撃のことです。
被害者が周囲に無警戒になっている場面を狙って行われます。
トラッシング(trashing)とはゴミあさりという意味の単語で、企業や個人が捨てたゴミの中から、機密情報が記載された書類やデータを探し出す手口のことです。
具体例としては、以下のようなものがあります。
・オフィスのゴミ箱から、シュレッダーにかけていない機密文書を回収する。
・廃棄された古いハードディスクから、データ復元ソフトを使って情報を取り出す。
・個人宅のゴミ袋から、ATM利用明細やクレジットカードの請求書を探し出す。
といった手口が考えられます。適切に廃棄処理がされていない書類や電子機器が狙われます。
攻撃者は、これらの情報を組み合わせて個人や組織の詳細なプロファイルを作成し、さらなる攻撃に利用することがあります。
文字通り、SNSから入手できる情報を収集・分析し、標的の個人情報や行動パターンを把握したうえで攻撃を仕掛ける手法です。
たとえば、以下のような手口です。
・SNSに公開されている職歴や人間関係の情報を利用して、信頼性の高いなりすましメールを作成する。
・休暇で旅行中の投稿を見て、留守宅を狙って侵入する。
・フェイクアカウントで友達申請を送り、承認後にプライベート情報を収集する。
過剰な情報公開や、フェイクアカウントからの友達申請には注意が必要です。
攻撃者は、SNS上の情報を組み合わせたうえで、より効果的な攻撃を仕掛けてきます。
これらの手口は単独で使用されることもありますが、多くの場合、複数の手法を組み合わせて使用されます。たとえば、SNSから情報を収集し、その情報を基にスピアフィッシングメールを作成するといった具合です。そのため、一つの対策だけでなく、総合的なセキュリティ意識と対策が重要といえるでしょう。
ソーシャルエンジニアリング攻撃を使った被害事例を確認しましょう。
これらの事例を理解しておくことで、ソーシャルエンジニアリング攻撃の現実的な脅威を理解し、自身や組織の防御意識を高めることができるはずです。
2015年、日本年金機構で約125万件の個人情報が流出した事件では、標的型メール攻撃(スピアフィッシング)が使用されました。
職員が不審なメールの添付ファイルを開封したことで、マルウェアに感染し、大規模な情報流出につながりました。
この事件は、公的機関であってもサイバー攻撃の脅威にあることを明らかにし、情報セキュリティに対する社会的な関心を高めるきっかけとなりました。
2018年、日本の大手暗号資産取引所Coincheckで約580億円相当の仮想通貨NEM(ネム)が不正に流出しました。
この事件では、従業員のパソコンがマルウェアに感染したことが原因とされています。
社内ネットワークへの侵入には、フィッシングメールなどのソーシャルエンジニアリング攻撃が使われた可能性が高いとされています。
万が一、マルウェア(ウイルス等)が発見された場合、管理者に自動通知されるため、ウイルス感染の見落としを防ぐこともできるでしょう。その他、個人情報や機密データ保護やUSBメモリでのデータ持ち出し防止、画面キャプチャの制御などの機能があれば、不要な情報漏洩を防止することができます。
これにより、金融庁は暗号資産交換業者に対する監督を強化し、セキュリティ対策の徹底を求めました。
この事件は、急速に成長していた暗号資産業界のセキュリティリスクを顕在化させ、適切な規制とセキュリティ対策の必要性を強く認識させる契機となったといえます。
ソーシャルエンジニアリング攻撃は、人間の心理を利用するため、完全に防ぐことは困難です。しかし、適切な対策を講じることで、被害のリスクを大幅に軽減することができます。
具体的な対策を確認しましょう。
従業員向けに、情報セキュリティポリシーや行動指針を明確に定め、定期的な教育・訓練を実施することが重要です。従業員一人ひとりがセキュリティの重要性を理解し、適切な行動を取ることで、組織全体のセキュリティレベルが向上します。
とくに、不審なメールへの対応や電話での本人確認手順など、日常的に遭遇する可能性が高い状況への対処法を重点的に教育することが効果的です。
最新のアンチウイルスソフトやファイアウォールを導入し、常に最新の状態に保つことで、マルウェアの侵入や不正アクセスを防ぐことができます。
最新の技術やツールを徹底的に活用することで、人的ミスによるリスクを軽減し、攻撃の早期発見・対応が可能になります。特に、新種のマルウェアや高度な攻撃に対しても、常に最新の対策を維持することが重要です。
オフィスへの入退室を厳格に管理し、部外者の立ち入りを制限します。重要な場所にセキュリティカメラを設置することも有効です。また、クリアデスクポリシーを徹底し、机上に機密情報を放置しないよう心がけます。
このように物理的なセキュリティを強化することで、内部犯行や外部からの不正アクセスのリスクを低減できます。また、従業員の情報セキュリティに対する意識向上にも繋がります。
PC利用時はワイヤーロックを使用したうえで、離席時には必ずPCをロック状態にするよう義務付けることが大切です。
PCだけでなくスマートフォンもそうですが、OSやアプリは常に最新化するようにし、指紋認証や顔認証などの生体認証を活用しましょう。また、可能な限り、多要素認証を導入するようにします。
企業や個人のSNS利用に関するガイドラインを作成し、過度な情報公開を避けるとともに、不審なアカウントとの交流に注意を促します。
SNSは個人のプライベートに近い情報が集まる場所であり、攻撃者にとって格好の情報収集源となります。
適切な利用ルールを設けることで、情報流出のリスクを低減し、ソーシャルエンジニアリング攻撃の糸口を減らすことができます。
ソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない、人間の心理を利用した巧妙な攻撃手法です。
その被害を防ぐためには、個人の意識向上と組織全体での取り組みが不可欠です。使いやすさ、機能性、コストパフォーマンスなどを比較し、企業の規模やニーズに合ったサービスを選ぶことが重要です。
常に警戒心を持ち、従業員教育や適切なセキュリティ対策を導入して、組織全体のセキュリティレベルを高めていくことが重要です。
この記事を参考に、各組織でのセキュリティ対策を見直してみてはいかがでしょうか。
