サイバーセキュリティ戦略における最大の弱点は「人」であり、ソーシャル エンジニアリングはターゲットとなるユーザーが攻撃を見抜くことができないことを利用するものです。ソーシャル エンジニアリングの脅威では、攻撃者は人間の感情(通常は恐怖や緊急性)を利用して、攻撃者に送金する、顧客の機密情報を漏らす、認証情報を開示するなどのアクションをターゲットに実行させるよう仕向けます。

ソーシャル エンジニアリングの歴史

サイバーセキュリティの世界では、ユーザーを騙して機密情報を流出させることは、何も新しいことではありません。変わったのは、攻撃の手法や情報を得るためのストーリー、 フィッシングなど他の脅威を取り入れた組織的なグループによる高度な攻撃だけです。ソーシャル・エンジニアリングという言葉は、1894年にオランダの実業家JC Van Markenによって初めて使われましたが、1990年代以降、サイバー攻撃の手法の1つとして使われるようになりました。

1990年代には、ソーシャル・エンジニアリングは、ユーザーに電話をかけて認証情報を漏らさせたり、脅威主体が企業内のサーバーに接続するための固定電話のダイヤルを提供させたりするものでした。現在では、攻撃者はソーシャルエンジニアリングを利用して、ターゲットとなるユーザーを騙し、海外の銀行口座に数百万ドルを送金させ、組織に数百万ドルの損害を与えています。また、このような被害が発生した後、従業員が職を失うケースもあります。

ソーシャル エンジニアリング攻撃の特徴

ソーシャル エンジニアリングとフィッシングの境界線は曖昧で、高度な攻撃では通常、両者は密接に関係しています。ソーシャル エンジニアリングでは、通常、正規の社員(CFOやCEOなど)になりすましたり、社員を騙して攻撃者を正規の顧客と思わせて、社員から攻撃者に機密情報を提供させたり、アカウントの機能を変更させたり(SIMスワッピングなど)することが行われます。

攻撃者の目的が何であれ、ソーシャル・エンジニアリングによるコミュニケーションであることを示す明確な兆候がいくつかあります。ソーシャル エンジニアリングの主要な要素の1つは、ターゲットとなるユーザーの恐怖心や感情を利用することです。攻撃者は、ターゲットとなるユーザーがリクエストを熟考することを望んでいないため、ソーシャル エンジニアリングでは、恐怖や切迫感を利用することになります。

ソーシャル・エンジニアリング攻撃には、以下のような共通点があります。

  • 感情を高ぶらせる: 攻撃者は、ユーザーを騙して認証情報を提供させるためにアカウントの喪失を脅したり、失職を恐れる従業員に危機感を植え付けるために、標的のユーザーに金銭を要求する重役のふりをしたりします。
  • 送信者アドレスの詐称: ほとんどのユーザーは、送信者アドレスが詐称されることに気づいていませんが、適切なメールセキュリティによって、詐称された送信者がターゲットユーザーの受信トレイにアクセスするのを阻止することができます。その代わり、攻撃者は公式ドメインに似たドメインを登録し、標的のユーザーがスペルの間違いに気づかないことを期待します。
  • 奇妙な友達リクエスト: 攻撃者がメールアカウントを侵害し、被害者の連絡先リストに悪意のあるメッセージを送りつけることは、珍しいことではありません。このようなメッセージは、通常、短いものであり、友人からのパーソナライズされた要素がないため、メッセージがパーソナライズされたコミュニケーションに聞こえない場合は、友人からのリンクをクリックすることを躊躇する必要があります。
  • 専門的でないウェブサイトへのリンク:  フィッシングのリンクは、ソーシャル エンジニアリングによってユーザーを騙し、機密情報を漏えいさせるために使用されることがあります。たとえ公式サイト(PayPalなど)のように見えても、Eメールのリンクから直接ウェブサイトに認証情報を入力することは絶対に避けてください。
  • 世の中にうまい話などない:  詐欺師は、しばしば金銭的な補償を約束します。例えば、ターゲットとなったユーザーが、送料の支払いと引き換えにiPhoneを無料で手に入れることができるなどです。あまりにも話がうますぎる場合は、詐欺である可能性があります。
  • 悪質な添付ファイル: 標的のユーザーを騙して個人情報を流出させる代わりに、メールの添付ファイルを使って企業のマシンにマルウェアをインストールさせるような巧妙な攻撃が行われることがあります。一見、無害に見えるメールだとしても、添付されているファイルのマクロや実行ファイルを実行するのは絶対にやめましょう。
  • 質問に対する返答を拒否する:  不審なメッセージには返信し、送信者に身分を明かしてもらうようにしましょう。攻撃者は身元を明かすことを避け、その要求を無視する可能性があります。

ソーシャル エンジニアリングのテクニック

ソーシャル エンジニアリングで用いられる全体的な手法は、感情を利用してユーザーを騙すことですが、攻撃者はいくつかの標準的な手法を用いて、ユーザーにある行動(例えば、銀行口座への送金)を行わせ、攻撃をより正当なものに見せかけることができます。通常、音声による会話なしに利用できるため、電子メールやテキストメッセージを使ったテクニックが用いられます。

一般的な手口としては、以下のようなものがあります。

  • フィッシング:ソーシャル エンジニアリングにより、通常、攻撃者は企業の幹部を装い、ユーザーを騙して海外の銀行口座に送金させます。
  • ビッシングとスミッシング:攻撃者は、テキストメッセージや音声変換ソフトウェアを使用して、SMSメッセージを送信したり、ユーザーにロボコールをかけたりします。メッセージは通常、支払いと引き換えに贈り物やサービスを約束します。このような詐欺は、ビッシング (ボイス フィッシング)スミッシング (SMS フィッシング)と呼ばれています。
  • CEO(エグゼクティブ)詐欺:このため、攻撃者はCEOや他の役員になりすまし、標的となる従業員が行動を起こすよう危機感を煽ります。CEO詐欺とも呼ばれます。
  • おとり捜査: 攻撃者は、少額の支払いと引き換えに、賞品や金銭を約束するのが一般的です。通常、このオファーはあまりにも魅力的であり、支払いは通常、送料やその他の費用負担のためです。
  • テールゲーティングまたはピギーバック: セキュリティ・スキャナーを使用して、敷地内への不正なアクセスをブロックしている企業では、攻撃者は、テールゲーティングやピギーバッキングを使い、ユーザーを騙して自分のアクセスカードを使わせ、攻撃者に敷地内への物理的なアクセスを得ます。
  • 見返り: 不満を持つ従業員が、金銭やその他の約束と引き換えに、攻撃者に機密情報を提供するよう仕向けられる可能性があります。

ソーシャルエンジニアリング攻撃の例

ソーシャル エンジニアリング攻撃を見破るには、それがどのようなものであるかを知ることが重要です。ソーシャル エンジニアリング攻撃は、ターゲットとなる被害者の感情を利用して行われますが、脅威主体の目標に関わらず、いくつかの共通した要素があります。攻撃者の目標は、通常、ユーザーを騙して金銭を送金させることに集約されますが、中には、ユーザーを騙して金銭を送金させることを望む者もいます。

一般的なソーシャルエンジニアリングのシナリオをいくつか紹介します。

  • おとり:攻撃者は、被害者がお金を払えば多額の報酬が得られるという「おとり」を提供します。この報酬は、宝くじの当選金や、少額の配送料と引き換えに無料で提供される賞品である可能性があります。また、実在しないキャンペーンへの寄付を要求することもあります。
  • 聞かれたことのない質問に答える:しかし、その回答は、個人情報を尋ねたり、悪意のあるウェブサイトへのリンクを含んでいたり、マルウェアの添付ファイルを含んでいたりします。
  • 金銭や口座の損失を脅したり、起訴を予告:ソーシャル エンジニアリングにおいて恐怖心は有効な手段であり、攻撃者の要求に従わなければ金銭的損失や刑務所行きになることを伝えることは、ユーザーを騙す効果的な方法です。
  • CEO詐欺: 上司や役員を装って、被害者に緊迫感を与え、銀行口座に送金するように仕向けます。

ソーシャル エンジニアリングの被害に遭わないために

よく勉強しているユーザーなら、いくつかのルールに従って、被害に遭わないよう必要な措置を取ることができます。メール送信者の身元を確認したり、電話でのやり取りの場合は質問をするなど、ゆっくり時間をかけて対応することが大切です。実践すべきルールは以下の通りです。

  • 返事をする前に調査する: その詐欺が一般的なものであれば、ネット上で他の人がそのソーシャル エンジニアリングの方法について記載しているのを見つけることができます。
  • リンクからウェブページにアクセスしない: メールの送信者が公式な企業からのものだと主張する場合、リンクをクリックして認証しないことが重要です。その代わり、ブラウザに公式ドメインを入力して、アクセスするようにしましょう。
  • 友人からの奇妙な行動に注意する: 攻撃者は、盗んだメールアカウントを使ってユーザーを騙すことがあります。連絡がほとんどこない友人から送られてくる連絡で、ウェブサイトへのリンクがあるメールが送られてきた場合は疑ってみてください。
  • ファイルをダウンロードしない: 緊急にファイルをダウンロードするように要求された場合、その要求を無視するか、その要求が正当なものであることを確認するために支援を求めてください。

ソーシャルエンジニアリング対策

企業もソーシャル エンジニアリングのターゲットになるため、従業員はその兆候に気付き、攻撃を阻止するために必要な措置を講じる必要があります。従業員を教育するのは組織の責任です。以下の手順に従って、進行中のソーシャル エンジニアリング攻撃を特定するためのツールを従業員に提供してください。

  • 公開されるデータを意識する: ソーシャルメディアであれ、Eメールであれ、従業員はそのデータが機密であるかどうかを知っておく必要があります。
  • 重要な情報を特定する個人識別情報( Personally identifiable information / PII)は決して第三者と共有すべきではありませんが、従業員はどのようなデータがPIIと見なされるかを知っておく必要があります。
  • ポリシーを利用してユーザーを教育する: ポリシーを導入することで、ユーザーは不正な要求に対処し、進行中のソーシャル エンジニアリング攻撃を報告するために必要な情報を得ることができます。
  • マルウェア (ウイルス) 対策ソフトを常に最新の状態に保つ: 万が一、従業員が悪意のあるソフトウェアをダウンロードしても、ほとんどの場合、マルウェア対策ソフトがそれを検知して阻止してくれます。
  • データを要求されたら、疑ってかかる: データ提供の依頼は、慎重に受け取る必要があります。質問をして、送信者の身元を確認した上で、その要求に応じましょう。
  • 従業員を教育する: ソーシャル エンジニアリングの実例を紹介するトレーニングを実施します。

プルーフポイント社のソーシャルエンジニアリングへの対応

プルーフポイントは、ソーシャル エンジニアリング攻撃が人間の感情やミスをターゲットにした非常に効果的なものであることを理解しています。プルーフポイントでは、ソーシャルエンジニアリングや、これらの攻撃と連動するフィッシングメールを従業員が識別できるようにするためのセキュリティ啓発のためのトレーニングと教育プログラムを用意しています。

プルーフポイントは、最も巧妙な攻撃に備え、対応に必要なツールをユーザーに提供します。実際の事例をもとに、ソーシャル エンジニアリングを特定し、組織の定めるセキュリティポリシーに従って対応できるよう準備します。