ソーシャルエンジニアリングとは？攻撃の手口と対策

サイバーセキュリティ戦略における最大の弱点は「人」であり、ソーシャル エンジニアリングはターゲットとなるユーザーが攻撃を見抜くことができないことを利用します。ソーシャル エンジニアリングの脅威では、攻撃者は人間の感情（通常は恐怖や緊急性）を利用して、攻撃者への送金、顧客の機密情報の漏洩、認証情報の開示などのアクションをターゲットに実行させるよう仕向けます。

重要ポイント

• ソーシャル エンジニアリングは、サイバー攻撃の98%を占める違法行為です。
• ソーシャル エンジニアリング手法の特徴は、攻撃者が既知の人物や正当な組織を装って被害者に機密情報を明かすよう強要することです。
• フィッシング攻撃による個人情報窃盗は、最も一般的なソーシャル エンジニアリングの形態です。
• データ侵害の70%以上は、フィッシングまたはソーシャル エンジニアリング攻撃から始まります。
• アカウントの多要素認証の設定から、不審な行動を識別するための従業員トレーニングまで、ソーシャルエンジニアリングを回避するためのいくつかの防止戦略を採用できます。

ソーシャルエンジニアリングの歴史

サイバーセキュリティの世界では、ユーザーを騙して機密情報を流出させることは、新しいことではありません。変わったのは、攻撃の手法や情報を得るためのステップ、 フィッシングなど他の脅威を取り入れた組織的なグループによる高度な攻撃だけです。ソーシャルエンジニアリングという言葉は、1894年にオランダの実業家JC Van Markenによって初めて使われましたが、1990年代以降、サイバー攻撃の手法の1つとして使われるようになりました。

1990年代には、ソーシャルエンジニアリングは、ユーザーに電話をかけて認証情報を漏らさせたり、脅威アクターが企業内のサーバーに接続するための固定電話のダイヤルをユーザーから提供させたりするものでした。現在では、攻撃者はソーシャルエンジニアリングを利用して、ターゲットとなるユーザーを騙し、海外の銀行口座に数百万ドルを送金させ、組織に損害を与えています。また、このような被害が発生した後、従業員が職を失うケースもあります。

ソーシャルエンジニアリングとは？

サイバーセキュリティの文脈では、ソーシャル エンジニアリングとは、被害者を操作、影響、または欺いて機密情報を漏らしたり、個人情報や金融情報を開示したり、コンピュータシステムの制御権を引き渡したりするような不適切な行動を実行させるために使用される手法を指します。

悪意のある科学として、ソーシャル エンジニアリングは心理的操作、説得、および搾取を使用して、ユーザーをセキュリティ上の間違いを犯したり、機密情報を明け渡したりするよう欺きます。ソーシャル エンジニアリング攻撃は人間の相互作用に依存し、多くの場合、被害者を騙して通常のセキュリティ手順を破らせることを伴います。例えば、ソーシャル エンジニアリング攻撃は、他者を信頼する、あるいは餌として機能する新しいオファーや情報に対する好奇心を探る人間の傾向に基づいているため、非常に効果的になり得ます。

ソーシャルエンジニアリング攻撃の手法

ソーシャル エンジニアリングとフィッシングの境界線は曖昧で、高度な攻撃では通常、両者は密接に関係しています。ソーシャル エンジニアリングでは、通常、正規の社員（CFOやCEOなど）になりすましたり、社員を騙して攻撃者を正規の顧客と思わせて、社員から攻撃者に機密情報を提供させたり、アカウントの機能を変更させたり（SIMスワッピングなど）することが行われます。

攻撃者の目的が何であれ、ソーシャルエンジニアリングによるコミュニケーションであることを示す明確な特徴がいくつかあります。ソーシャル エンジニアリングの主要な手法の1つは、ターゲットとなるユーザーの恐怖心や感情を利用することです。攻撃者は、ターゲットとなるユーザーがリクエストを熟考することを望んでいないため、ソーシャル エンジニアリングでは、恐怖や切迫感を利用することになります。

ソーシャルエンジニアリング攻撃には、以下のような共通点があります。

• 感情の揺さぶり: 攻撃者は、ユーザーを騙して認証情報を提供させるためにアカウントの喪失を脅したり、失職を恐れる従業員に危機感を植え付けるために、標的のユーザーに金銭を要求する重役のふりをしたりします。
• 送信者アドレスの詐称: ほとんどのユーザーは、送信者アドレスが詐称されていることに気づいていませんが、適切なメールセキュリティによって、詐称された送信者がターゲットユーザーの受信トレイにアクセスするのを阻止することができます。攻撃者は公式ドメインに似たドメインを登録し、標的のユーザーがスペルの間違いに気づかないことを期待します。
• 怪しい友達リクエスト: 攻撃者がメールアカウントを侵害し、被害者の連絡先リストに悪意のあるメッセージを送りつけることは、珍しいことではありません。このようなメッセージは、通常、短いものであり、友人からのパーソナライズされた要素がないため、メッセージがパーソナライズされたコミュニケーションに見えない場合は、友人からのリンクをクリックしないでください。
• 専門的でないウェブサイトへのリンク: フィッシングのリンクは、ソーシャル エンジニアリングによってユーザーを騙し、機密情報を漏えいさせるために使用されることがあります。たとえ公式サイト（PayPalなど）のように見えても、Eメールのリンクから直接ウェブサイトに認証情報を入力することは絶対に避けてください。
• うまい話: 詐欺師は、しばしば金銭的な補償を約束します。例えば、ターゲットとなったユーザーが、送料の支払いと引き換えにiPhoneを無料で手に入れることができるなどです。あまりにも話がうますぎる場合は、詐欺である可能性が高いです。
• 悪質な添付ファイル: 標的のユーザーを騙して個人情報を流出させる代わりに、メールの添付ファイルを使って企業のデバイスにマルウェアをインストールさせるような巧妙な攻撃が行われることがあります。一見、無害に見えるメールだとしても、添付されているファイルのマクロや実行ファイルを実行するのは絶対にやめましょう。
• 不審な送信者: 多くのソーシャル エンジニアリング手法は、友人、上司、同僚などの身近な情報源を模倣するように設計されています。不審なメールを受け取った場合は、常に確認し、「この上司/友人/同僚が実際に私に送ったのか？」と自問してください。問題のメールに返信する前に、電話、テキスト、またはソーシャルメディア メッセージで実際の人物に連絡し、なりすまされているかどうかを確認してください。
• 返答の拒否: 不審なメッセージには返信し、送信者に身分を明かしてもらうようにしましょう。攻撃者は身元を明かすことを避け、その要求を無視する可能性があります。
• 身元不明の送信者: 送信者が組織との身元を確認できない、または確認する意思がない場合は、要求されている追加情報やアクセスを提供しないでください。メールが最も一般的ですが、これはテキストメッセージ、電話など、他のソーシャル エンジニアリング戦術にも適用されます。

エンジニアリング攻撃の手口

ソーシャル エンジニアリングで用いられる全体的な手法は、感情を利用してユーザーを騙すことですが、攻撃者はいくつかの一般的な手口を用いて、ユーザーにある行動（例えば、銀行口座への送金）を行わせ、攻撃をより正当なものに見せかけることができます。通常、音声による会話なしで利用できるため、電子メールやテキストメッセージを使ったテクニックが用いられます。

一般的な手口としては、以下のようなものがあります。

• フィッシング: ソーシャル エンジニアリングにより、通常、攻撃者は企業の幹部を装い、ユーザーを騙して海外の銀行口座に送金させます。
• ビッシングとスミッシング: 攻撃者は、テキストメッセージや音声変換ソフトウェアを使用して、SMSメッセージを送信したり、ユーザーにロボコールをかけたりします。メッセージは通常、支払いと引き換えに贈り物やサービスを約束します。このような詐欺は、ビッシング (ボイス フィッシング)、スミッシング (SMS フィッシング)と呼ばれています。
• CEO（エグゼクティブ）詐欺: 攻撃者はCEOや他の役員になりすまし、標的となる従業員が行動を起こすよう危機感を煽ります。CEO詐欺とも呼ばれます。
• ベイティング: 攻撃者は、少額の支払いと引き換えに、賞品や金銭を約束するのが一般的です。通常、このオファーはあまりにも魅力的であり、支払いは通常、送料やその他の費用負担のためです。
• プリテキスティング: 攻撃者は機密情報やシステムへのアクセスを得るために偽のプリテキスト（口実）を作り出すことがあります。例えば、攻撃者は銀行窓口担当者になりすまして標的となる個人に連絡し、アカウントに不審な活動があったと主張し、アカウントを確認するために機密情報を共有するよう求めることがあります。
• テールゲーティングまたはピギーバック: セキュリティ・スキャナーを使用して、敷地内への不正なアクセスをブロックしている企業では、攻撃者は、テールゲーティングやピギーバッキングを使い、ユーザーを騙して自分のアクセスカードを使わせ、攻撃者に敷地内への物理的なアクセスを与えます。
• 見返り: 不満を持つ従業員が、金銭やその他の約束と引き換えに、攻撃者に機密情報を提供するよう仕向けられる可能性があります。
• 水飲み場型攻撃: このソーシャル エンジニアリング攻撃の形態では、グループが訪問する可能性の高いウェブサイトに感染させることで、特定のグループを標的にします。例えば、攻撃者は人気のニュースサイトをマルウェアに感染させ、特定の企業の従業員がそのサイトを訪問して誤ってマルウェアをダウンロードすることを意図することがあります。
• 尋ねられていない質問への返信: 標的となる被害者は、質問に「返信」するメールを受け取りますが、その返信には個人情報の要求、悪意のあるウェブサイトへのリンク、またはマルウェア添付ファイルが含まれています。
• 金銭や口座の損失の脅し、または起訴の脅し: 恐怖はソーシャル エンジニアリングにおいて有用なツールであるため、ユーザーを騙す効果的な方法は、攻撃者の要求に従わなければ金銭的損失を被るか刑務所に行くことになると伝えることです。

ソーシャル エンジニアリング攻撃を識別するには、それがどのようなものであるかを知っておくことが重要です。ソーシャル エンジニアリング攻撃は標的となる被害者の感情に働きかけますが、脅威アクターの目標に関係なく、ユーザーを騙して金銭を送金させるなど、いくつかの共通の要素があります。

個人のソーシャルエンジニアリング対策

緊急性は多くのターゲットを混乱させますが、知識のあるユーザーなら、いくつかのルールに従って、被害に遭わないよう必要な措置を取ることができます。メール送信者の身元を確認したり、電話でのやり取りの場合は質問をするなど、ゆっくり時間をかけて対応することが大切です。

実践すべき対策は以下の通りです。

• 返事をする前に調査する: その詐欺が一般的なものであれば、ネット上で他の人がそのソーシャル エンジニアリングの方法について記載しているのを見つけることができます。
• リンクからウェブページにアクセスしない: メールの送信者が公式な企業からのものだと主張する場合、リンクをクリックして認証しないことが重要です。その代わり、ブラウザに公式ドメインを入力して、アクセスするようにしましょう。
• 友人からの怪しい行動に注意する: 攻撃者は、盗んだメールアカウントを使ってユーザーを騙すことがあります。連絡がほとんどこない友人から送られてくる連絡で、ウェブサイトへのリンクがあるメールが送られてきた場合は疑うべきです。
• ファイルをダウンロードしない: 緊急にファイルをダウンロードするように要求された場合、その要求を無視するか、その要求が正当なものであることを確認するためにサポートを求めてください。

ソーシャルエンジニアリングに関する統計

ソーシャル エンジニアリングは、攻撃者が機密情報へのアクセスを取得できる最も一般的で効果的な方法の一つです。統計によると、フィッシングと組み合わせたソーシャル エンジニアリングは非常に効果的で、組織に何百万ドルもの損害をもたらします。

ソーシャル エンジニアリングに関するいくつかの統計は以下の通りです。

• ソーシャル エンジニアリングは攻撃の98％を占めています。
• 2020年には、75％の企業がフィッシングの被害者であったと報告しています。
• 2020年の最も一般的なサイバーインシデントはフィッシングでした。
• データ侵害後の平均コストは、記録あたり150ドルです。
• データ侵害の70％以上はフィッシングまたはソーシャル エンジニアリングから始まります。
• Googleは2021年に200万以上のフィッシング ウェブサイトを記録しました。
• フィッシングメールの約43％はMicrosoftのような大企業になりすましています。
• 企業の60％が成功したフィッシング攻撃後のデータ損失を報告し、標的とされたユーザーの18％がフィッシングの被害に遭っています。

企業のソーシャルエンジニアリング対策

企業もソーシャル エンジニアリングのターゲットになるため、従業員はその兆候に気付き、攻撃を阻止するために必要な措置を講じる必要があります。従業員を教育するのは組織の責任です。以下の手順に従って、進行中のソーシャル エンジニアリング攻撃を特定するためのツールを従業員に提供してください。

• 公開されるデータを意識する: ソーシャルメディアであれ、Eメールであれ、従業員はそのデータが機密であるかどうかを知っておく必要があります。
• 重要な情報を特定する: 個人識別情報( Personally identifiable information / PII)は決して第三者と共有すべきではありませんが、従業員はどのようなデータがPIIと見なされるかを知っておく必要があります。
• ポリシーを利用してユーザーを教育する: ポリシーを導入することで、ユーザーは不正な要求に対処し、進行中のソーシャル エンジニアリング攻撃を報告するために必要な情報を得ることができます。
• 多要素認証でセキュリティを強化する: 本人確認のための追加層を加えることで、オンラインアカウントをより安全で侵入不可能にすることができます。
• パスワードを強化し、パスワード マネージャーを使用する: 多様な文字タイプを含む強力でユニークなパスワードを使用することで、解読が困難になります。信頼性の高いパスワード マネージャーもパスワードを安全に管理するのに役立ちます。
• オンラインでの個人情報を制限する: 通った学校、ペットの名前、またはセキュリティ質問の回答やアクセスパスワードを反映するその他の詳細など、個人情報の共有を避けましょう。
• デバイスを安全に保ち、手元に置く: 特に空港やコーヒーショップなどの公共の場所では、コンピュータやモバイル デバイスをロックしましょう。盗難防止のためにデバイスを自分の所持下に置いておきましょう。
• マルウェア (ウイルス) 対策ソフトを常に最新の状態に保つ: 万が一、従業員が悪意のあるソフトウェアをダウンロードしても、ほとんどの場合、マルウェア対策ソフトがそれを検知して阻止してくれます。
• データを要求されたら、疑ってかかる: データ提供の依頼は、慎重に引き受ける必要があります。質問をして、送信者の身元を確認した上で、その要求に応じましょう。
• 従業員を教育する: 従業員は助けとなる教育を受けていなければ攻撃を識別できないため、ソーシャル エンジニアリングの実例を示すトレーニングを提供しましょう。

ソーシャルエンジニアリング対策ソリューション

プルーフポイントは、ソーシャル エンジニアリング攻撃が人間の感情やミスをターゲットにした非常に効果的なものであることを理解しています。プルーフポイントでは、ソーシャルエンジニアリングや、これらの攻撃と連動するフィッシングメールを従業員が識別できるようにするためのセキュリティ啓発のためのトレーニングと教育プログラムを用意しています。

プルーフポイントは、最も巧妙な攻撃に備え、対応に必要なツールをユーザーに提供します。実際の事例をもとに、ソーシャル エンジニアリングを特定し、組織の定めるセキュリティポリシーに従って対応できるよう準備します。