ソーシャルエンジニアリングとは?手口の種類や対策ポイントを解説
ソーシャルエンジニアリング(Social Engineering)とは、人間の心理的な隙やミスにつけ込んで、パスワードなどの重要な情報を窃取する手口のことです。その意味や手口の種類を理解し、被害に遭わないための基本的な対策法を解説します。
情報セキュリティに取り組むうえで、ソーシャルエンジニアリング(Social Engineering)への対策は欠かせません。ソーシャルエンジニアリングは、サイバー攻撃の手口として古くから存在しており、今なお頻繁に使われています。つまり、ソーシャルエンジニアリングへの対策は、安全なセキュリティ環境を実現するための基本と言えます。
そこで本記事では、ソーシャルエンジニアリングの意味や手口など基本的な知識を紹介し、被害に遭わないためにどのような対策をすべきか解説していきます。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、人間の心理的な隙や行動の誤りにつけ込んで、パスワードなどの重要な情報を窃取する手口のことです(※1)。ランサムウェアやマルウェアなどを用いないのが、ソーシャルエンジニアリングの特徴です。「うっかり」や「てっきり」といったヒューマンエンラーを狙うため、完璧な対策が難しいとされています。
そのため、ソーシャルエンジニアリングは、現在もサイバー攻撃の手口として頻繁に用いられます。独立行政法人情報処理推進機構セキュリティセンター(IPA)が発表したプレスリリース「情報セキュリティの10大脅威 2021」では、ソーシャルエンジニアリングを、数多くの脅威に共通する「基本的な手口」と指摘しています(※2)。
おすすめ記事:ブランドのなりすましに注意!事例と対策を徹底解説
ソーシャルエンジニアリングにはどんな種類がある?
では、具体的にソーシャルエンジニアリングにはどのような種類があるのでしょうか。以下、代表的な手口を紹介します。
なりすまし電話で情報を聞き出す
ベンダーやネットワークの管理者、または利用者などになりすまし、電話でパスワードなどの情報を聞き出す手口です。古典的な手口ですが、電話上で相手の身分や権限を確認するのは困難なため、完全な対策が難しい手口でもあります。
画面をのぞき見る
PCやスマートフォン利用時に、背後からパスワードをのぞき見る手法です。肩越しに画面をのぞくことから「ショルダーハッキング」とも呼ばれます。カフェやコワーキングスペースで仕事をする機会の多い昨今、特にリスクの高まっている手口と言えます。
ゴミ箱から情報を盗み出す
ゴミ箱を漁り、廃棄済みの書類や記録媒体から、パスワードやサーバーの設定情報などを盗み出す手口です。清掃員や警備員などになりすました人物が行うケースもあります。
偽装メールを送り、重要情報を入力・返信させる
偽のメールでユーザーを騙し、パスワードなどの重要情報を返信させたり、偽のフォームに入力させたりする手法です。一般的にこれらをフィッシングと呼びます。近年急増している標的型攻撃(特定の組織を狙ったサイバー攻撃)で頻繁に用いられています。
おすすめ記事:次はあなたが被害に遭うかも?フィッシングメールに注意
ソーシャルエンジニアリング対策のポイントは?
ソーシャルエンジニアリングには、どのような対策が有効でしょうか。先に述べた通り、ソーシャルエンジニアリングはヒューマンエラーを突いた手口です。そのため、ユーザーそれぞれが自らの意識を高め、基本的なセキュリティ対策を実践することが、最も有効な対策と言えます。
例えば、なりすまし電話への対策としては「口頭でパスワードなどをやり取りしない」ことが有効です。ユーザーひとり一人が、そうした習慣を身に付けて実践することで、ソーシャルエンジニアリングのリスクは低減されます。
また、オフィス外で仕事をする際には安全な環境を選んだり、重要情報を廃棄する際にはシュレッダーや溶解処理をしたりといった習慣付けも有効です。そのほか、偽装メールを用いたソーシャルエンジニアリングについては、以下のポイントに留意し、不審なメールを見分けるようにしましょう。
①差出人
差出人は普段からやりとりしている相手か
職務に関わりのある部署や組織、顧客、パートナーから送信されているか
メールアドレスやドメインに不審な点はないか
②宛先
CCに知らない宛先や名前が入力されていないか
CCに同じ苗字の社員が並んでいるなど、所属や職務に関係なく送信されていないか
③送信日時
普段、就業時間内に送られてくるメールが、深夜などに送信されていないか
④件名
本文の内容と関連性がない件名が付けられていないか
依頼した覚えのない内容が記されていないか
⑤本文
ハイパーリンクに無理に誘導するような文面ではないか
文法やスペルに誤りがあったり、不自然な言葉、改行など文面に違和感がないか
文字化けしていないか
⑥リンク
本文がなく、ハイパーリンクだけが記載されていないか
表示されているリンクと遷移先に相違はないか
リンクにスペルミスがないか(www.bankofamerica.com ではなく www.bankofarnerica.com になっている等)
⑦添付ファイル
本文と関連性のないファイルが添付されていないか
企業に求められる幅広い脅威への対策
「うっかり」や「てっきり」を完全に防ぐことができない以上、ソーシャルエンジニアリングの脅威は今後も続くことでしょう。私たちにできることは、情報セキュリティの基本をしっかり押さえたうえで、日常的な対策を粛々と続けていくことです。
一方で、サイバー攻撃の脅威はソーシャルエンジニアリングに限りません。ソフトウェアの脆弱性を突いた攻撃やウイルスを感染させる攻撃など、サイバー攻撃の手口は、近年、急速な勢いで多様化・巧妙化しています。
こうしたなかで、企業には幅広い脅威への対策が求められています。情報セキュリティの担当者や経営層の方は、最新の脅威に対応するためにも、OSやソフトウェアのアップデート、ウイルス感染対策、メール暗号化などについても押さえておくとよいでしょう。
おすすめ記事:メールセキュリティは大丈夫?日本の現状と最新動向を踏まえた対策
出典:
※1 総務省 ソーシャルエンジニアリングの対策
※2 独立行政法人情報処理推進機構セキュリティセンター 情報セキュリティ10大脅威 2021
