ソーシャルエンジニアリングは、個人情報、アクセス、または金銭などの不正な入手を目的として、人間のエラーを悪用する巧妙な手口のことです。サイバー犯罪におけるこのような「人的ハッキング」詐欺は、無防備なユーザーをおびき寄せてデータを露呈させたり、マルウェア感染を拡散させたり、アクセス制限されたシステムにアクセスさせたりする傾向があります。攻撃は、オンライン、人的接触、その他の対話の中で発生します。
ソーシャルエンジニアリングを駆使する詐欺は、人々がどのように考え、どのように行動するかを中心に設計されています。こうした理由から、ソーシ ャルエンジニアリング攻撃は、ユーザーの行動を巧妙に誘導する上で特に有効です。ユーザーの行動の動機を攻撃者が理解した時点で、ユーザーを欺き、効果的な方法で手玉に取ることができるようになります。
さらに、ユーザーの知識不足を悪用しようとします。技術は急速に進歩するため、多くの顧客や従業員は、ドライブバイダウンロードのような特定の脅威に気づいていません。また、電話番号のような個人データの真の価値にも気づいていない場合があります。多くのユーザーは、自分自身と自分の情報をどのように保護するのが最善なのかがわからない状態です。
一般的に、ソーシャルエンジニアリング攻撃には次のいずれかの目的があります:
ソーシャルエンジニアリングの定義は、その仕組みを正確に知ることでさらに広義化されます。
ソーシャルエンジニアリング攻撃のほとんどは、攻撃者と被害者の実際のコミュニケーションに依存しています。攻撃者は、ブルートフォース(総当たり)攻撃でデータを侵害するのではなく、標的自身が自らを危険にさらすように働きかける傾向があります。
この攻撃方法には、攻撃者が被害者を騙すのに有効な手順があります。ソーシャルエンジニアリング攻撃の方法は、多くの場合次のステップで成り立っています:
この手順は、1通のメールで行われることもあれば、ソーシャルメディアのチャットを数か月続けて行われることもあります。対面での交流で行われることもあり得ます。しかし最終的には、貴重な情報を共有したりマルウェアに対して無防備になったりなど、被害者の行動によってこの手順が完了します。
ソーシャルエンジニアリングは、なりすましの手段として利用されることを知っておくことが重要です。わずか2、3の情報がハッカーに渡れば、複数のネットワークやアカウントへの不正アクセスを許してしまうことに、多くの従業員や消費者は気づいていません。
ハッカーはITサポート担当者の権限を持つ正規ユーザーになりすまし、名前、生年月日、住所など、標的の個人情報を盗みます。なりすましが成功すれば、パスワードのリセットや、ほぼ無制限のアクセスが簡単にできてしまいます。金銭の窃取、ソーシャルエンジニアリング用のマルウェアの拡散なども可能になります。
ソーシ ャルエンジニアリング攻撃の中心となるのは、攻撃者による説得と信頼感の行使です。このような戦術にかかると、普段はしないような行動をしてしまう確率が高くなります。
ほとんどの攻撃の中で、次のような行動をしてしまいそうになっていることに気づくでしょう:
感情を高ぶらせる:感情を巧妙に操作すれば、どんな対話の中でも攻撃者が優位に立つことができます。一方で標的は、極度に感情が高ぶった状態では、非合理的な行動や危険性が高い行動をしてしまいがちです。次に記載する感情はすべて、標的を信じ込ませるために使用されます。
急いで何かをしたくなる:もう1つの有力な攻撃手段は、時間制限があるチャンスやリクエストです。早急な対応が必要となる深刻な問題があると見せかけることで、標的は自分を危険にさらすように誘導される可能性があります。あるいは、今すぐに行動しないと手に入らない賞金や報奨金という形で誘惑される場合もあります。いずれのアプローチも、標的の批判的思考能力を発揮させない目的で使用されます。
信頼する:ソーシャルエンジニアリング攻撃において、信頼の獲得は非常に重要であり、不可欠です。結局のところ、攻撃者は標的に嘘をついているので、ここで重要な役割を果たすのは信頼感です。攻撃者は標的について十分調査し、信じやすく疑念を喚起しづらいストーリーをでっち上げています。
このような特徴には例外もあります。場合によっては、ネットワークやコンピューターへのアクセスを獲得するために、非常に単純なソーシャルエンジニアリング手法を使用することもあります。たとえば、大型オフィスビル内の食堂への出入りを繰り返し、タブレットやノート PCを肩越しに盗み見するなどです。この方法なら、メールを送信せず、マルウェアのコードを1行も書かなくても、パスワードとユーザー名を大量に入手できます。
基本的な概念はご理解いただけたかと思います。次に気になるのは、「ソーシャルエンジニア攻撃はどういうもので、それを見分ける方法はあるのか?」ということではないでしょうか。
ほとんどのサイバー攻撃には、何らかのソーシャルエンジニアリングが使用されています。たとえば、古典的なメール詐欺やウイルス詐欺からは、社会的な影響が強く感じられます。
ソーシャルエンジニアリングはデスクトップPCのみでなくモバイルデバイスの攻撃も駆使しながら、標的のデジタル生活に悪影響を与えます。それだけではなく、面と向かって脅威に遭遇することもあります。これらの攻撃がそれぞれ重なり合うことで、1つの詐欺を構成する場合があります。
ソーシャルエンジニアリング攻撃に使用される一般的な方法の一部について説明します:
フィッシングは、信頼できる機関や個人を装って、個人データやその他の重要な情報を提供するように標的を説得する攻撃です。
フィッシングを使用する攻撃には次の2つの方法があり、標的に応じて使い分けられます:
直接のコミュニケーション経由であれ偽装Webサイトのフォーム経由であれ、標的が共有したものはすべて、詐欺師のポケットに直接入ることになります。フィッシング攻撃に続いて、騙されてマルウェアをダウンロードしてしまう可能性もあります。フィッシングに使用される方法にはそれぞれ、特有の方法があります。次の記載は、全部を網羅しているわけではありません:
音声フィッシング(ヴィッシング)。電話の自動音声メッセージシステムが、標的の入力をすべて記録する可能性があります。時には、信頼感と緊急性を高める目的で、生身の人間が標的に話しかける場合もあります。
SMSフィッシング(スミッシング)は、テキストまたはモバイルアプリのメッセージを使用します。メッセージにはWebサイトへのリンクや、詐欺に使用するメールアドレスや電話番号への折り返し連絡を催促する文面が含まれていることがあります。
メールフィッシングは最も伝統的なフィッシング手法です。即座のメール返信やその他の方法での速やかな折り返し連絡を要求します。Webサイトのリンク、電話番号、マルウェアの添付などが使用されます。
アングラーフィッシングは、ソーシャルメディアで使用されます。攻撃者は、信頼できる企業の顧客サービスチームになりすまします。標的となる顧客と企業のコミュニケーションを傍受し、会話をハイジャックしてプライベートなメッセージに移行させ、そこで攻撃を仕掛けます。
検索エンジンフィッシングは、偽装Webサイトへのリンクを検索の上位結果に埋め込もうとします。これらは有料広告である場合もあれば、検索順位を操作する合法的な最適化手法を使用している場合もあります。
URLフィッシングのリンクは、フィッシングWebサイトへ標的を誘導します。リンクの配信に一般的に使用されるのは、メール、テキスト、ソーシャルメディアのメッセージ、オンライン広告などです。攻撃に使用されるリンクは、ハイパーリンクテキストやボタンの中に隠されたり、リンク短縮ツールで短縮されたり、紛らわしい綴りのURLに偽装されたりします。
In-sessionフィッシングは、通常のWebサイト閲覧を中断して表示されます。たとえば、ログイン用の偽装ポップアップとして、現在閲覧しているページに表示されます。
ベイト攻撃は、自然な好奇心を悪用し、攻撃者に対して標的を無防備な状態にさせようとします。典型的な方法として、何かが無料または限定的に手に入る可能性を示唆して、標的からの搾取に悪用しようとします。この攻撃は通常、標的のマルウェア感染を視野に入れています。
ベイト攻撃によく使用される方法は次の通りです:
物理的な侵害とは、攻撃者が正当な人物になりすまして標的の実地に出向き、許可されていない場所や情報へアクセスすることなどを意味します。
この類の攻撃は、政府、企業、その他の組織などの事業活動環境でよく発生します。攻撃者は、企業がよく知っており信頼している取引先の代表者になりすます場合があります。標的の企業を最近解雇され、雇用主に復讐したい元従業員が攻撃者となる可能性すらあるかも知れません。
攻撃者は身元情報をあいまいにしておきながら、質問されるのを避ける程度の信頼感を与えます。この攻撃には攻撃者側のちょっとした下調べが必要であり、高いリスクが伴います。よって、誰かがこの方法を試そうとしている場合、成功すれば高額の見返りが手に入る可能性があることが明らかになっているということです。
プリテキスティングでは、「プリテキスト(口実)」として偽装された身元を使用し、標的の信頼を獲得します。その目的は、ベンダーや施設の従業員へのなりすましなどです。この手法では、攻撃者による標的へのより積極的な対話が必要となります。攻撃者が真っ当な人物であると標的が信じ込んだ段階で、搾取が始まります。
テールゲート(または「ピギーバック」)とは、正規の従業員を尾行して入室制限区域に侵入する行為です。攻撃者は礼儀正しくふるまってドアを開けたままにしてもらうよう依頼したり、自分にはその場所にいる権限があるかのように標的に信じ込ませたりします。プリテキスティングがここで功を奏することもあります。
「Quid pro quo」とは、ざっくり言うと「好意に対する好意」を意味する言葉です。フィッシングの場合は、標的の個人情報を引き換えに、何らかの報酬や対価を提供することを指します。プレゼントや調査研究への参加依頼などの名目で、標的がこの類の攻撃を受ける場合があります。
少額の投資で何か価値が高いものを得られるという話で標的を興奮させることから、搾取が開始されます。攻撃者は標的のデータを奪うだけで、何も与えることはありません。
DNSスプーフィングは、正規のURLを入力すると、ブラウザーやWebサーバーが悪意のあるWebサイトに移動するように細工します。この脆弱性攻撃に感染すると、関係するシステムから不正確なルーティングデータが消去されない限り、リダイレクトが継続されます。
DNSキャッシュポイズニング攻撃は、まず最初に標的のデバイスを感染させて、正規のURLまたは複数のURLを不正なWebサイトへ接続するルーティング指示が実行されるようにします。
スケアウェアは、標的を脅迫して行動を起こさせる目的で使用されるマルウェアの一種です。この悪質なマルウェアが使用するのは、マルウェアに感染したという偽のレポートや、アカウントの1つが不正アクセスされたという偽の警告です。
このような脅迫を通じて、スケアウェアは偽のサイバーセキュリティ製品を買わせたり、アカウント情報などの個人情報を流出させたりします。
水飲み場型攻撃は、人気のあるWebページにマルウェアを感染させて、一度に大勢のユーザーに被害を与えます。特定のサイトの欠陥を見つけるために、攻撃者側には周到な計画が必要となります。攻撃者が探すのは、パッチが適用されていない未知の脆弱性です。こうした欠陥は、ゼロデイ脆弱性とみなされます。
場合によっては、あるサイトが、既知の問題を修正するためにインフラストラクチャを更新していないことに気づくこともあります。Webサイトの所有者は、ソフトウェアのアップデートを遅延させて、安定性が高いバージョンを維持することを選択しているのかも知れません。この場合、新しいバージョンのシステムの安定性が証明された後に切り替えが行われます。ハッカーはこのような状況を悪用し、最近パッチが適用された脆弱性を標的にします。
次のような手の込んだ手口でサイバー攻撃が行われた事例もあります:
マルウェア攻撃は遭遇する確率が高く、その影響も長期にわたるため、とりわけ注意を払う必要があります。
マルウェアの作成者がソーシャルエンジニアリングの手法を使用すると、不用心なユーザーを誘導して感染したファイルを起動させたり、感染したWebサイトへのリンクを開かせたりすることが可能になります。多くのメールワームとその他のマルウェアが、この方法を使用しています。モバイルデバイスやデスクトップデバイスを総合的に保護するセキュリティ製品スイートがない場合、感染する可能性は高くなります。
サイバー犯罪者は、リンクや感染したファイルにユーザーの関心を引き付けて、標的にクリックさせようとします。
この種類の攻撃の事例は次の通りです:
感染したサイトへのリンクは、メールやICQ、その他のインスタントメッセンジャー(IM)、またはインターネットリレーチャット(IRC)経由で送信されます。モバイルデバイスを標的とするウイルスは、多くの場合、SMSメッセージで配布されます。
いずれの配信方法でも、メッセージには通常、人目を引く言葉や興味をそそる言葉が含まれ、疑うことを知らないユーザーがリンクをクリックするように誘導します。リンクから侵入する方法では、メールサーバーのウイルス対策フィルターをマルウェアが迂回してしまうことが可能になります。
P2Pネットワークも、マルウェアの配布に利用されます。ワームやトロイの木馬はP2Pネットワークでも確認されていますが、ユーザーが関心を持ってダウンロード、起動しやすくなるようなファイル名が付けられています。例を以下に記載します:
被害者が感染を報告しにくくなるように、マルウェアの作成者や配布者が対策を講じるケースもあります。
被害者が反応する可能性があるのは、次のような違法な利益を約束する無料ユーティリティやドキュメントを提供するという偽のオファーです:
このような事例では、ダウンロードしたものがトロイの木馬であっても、被害者は自分の不正な思惑が明らかにならないように必死になります。そのため、多くの場合、被害者は法執行機関に感染を報告しなくなるのです。
この手法の一例として、人材募集サイトから入手したメールアドレス宛てへトロイの木馬を送信した事例があります。Webサイトにユーザー登録すると偽の転職オファーを受け取るのですが、そのメールにトロイの木馬が含まれているという仕組みです。この攻撃の主な標的は、企業のメールアドレスです。トロイの木馬を受信した社員が「転職先を探している最中に感染しました」などと上司に報告しないであろうことを、サイバー犯罪者は熟知しています。
ソーシャルエンジニアリングから自衛するには、自己認識を高める練習が必要です。何かをする前、何かに反応する前に、落ち着いてゆっくり考えましょう。
攻撃者が標的に期待しているのはリスクを考慮しないで行動することですから、その逆をすればいいのです。攻撃を受けているのではないかと思った時は、自分に次の問いかけをすると冷静になれるでしょう:
攻撃を見抜くだけでなく、プライバシーやセキュリティに関して予防的に行動することもできます。ソーシャルエンジニアリング攻撃を防ぐ方法を知ることは、すべてのモバイルユーザーや コンピュータユーザーにとって非常に重要です。
ここでは、あらゆる種類のサイバー攻撃から身を守るための重要な方法を紹介します:
オンラインコミュニケーションは、サイバー攻撃が付け入る隙を特にさらしてしまいがちな場所です。ソーシャルメディア、メール、テキストメッセージは一般的な標的となりますが、対面でのコミュニケーションでも標的となり得ることを考慮しておくとよいでしょう。
メールやメッセージのリンクを絶対にクリックしないでください。送信者が誰であれ、URLは常に手動でアドレスバーへ入力するようにするのは、よい考えに思えます。もうひと手間かけて、その疑わしいURLの正式なバージョンを確認するために調べるようにしましょう。公式でも合法でもないURLには、決してアクセスしてはいけません。
多要素認証を使用しましょう。オンラインアカウントは、パスワードのみでの保護よりもはるかに安全です。多要素認証は、アカウントログイン時に身元情報を確認するための要素を増やし、手続きを多層化します。これらの「要素」は、指紋や顔認証のような生体認証や、テキストメッセージで送信される一時的なパスコードなどです。
強度が高いパスワード(とパスワードマネージャー)を使用しましょう。各パスワードを、一意で複雑な構成にするべきです。大文字、数字、記号など、多様な文字の使用を心がけましょう。また、可能な限り長いパスワードを指定するとよいでしょう。カスタマイズされたパスワードをすべて管理できるように、パスワードマネージャーを使用して安全に保存し、記憶しておくと便利です。
学校名、ペットの名前、出生地など、個人的な情報を共有しないようにしましょう。セキュリティに関する質問の答えやパスワードの一部を、知らず知らずのうちに公開しているかも知れません。セキュリティに関する質問を記憶しやすいが正しくはないものに設定すれば、犯罪者がそのアカウントをクラックするのは難しくなります。最初の車が「トヨタ」だった場合、代わりに「ピエロ」などと嘘を書いておけば、どんな詮索好きなハッカーでも完全に撃退することができるでしょう。
オンラインでのみ交流する友人を作る際には、特に用心しましょう。インターネットは世界中の人々とつながる素晴らしい手段ですが、ソーシャルエンジニアリング攻撃の常套手段でもあります。自分を巧妙に何かに誘導したり、明らかに信頼を悪用しようとしていると感じられるような兆候や赤信号によく注意しましょう。
侵害されたオンラインネットワークは、背景調査のために悪用される脆弱性の一因となり得ます。自分のデータが悪用されるのを防ぐために、接続しているあらゆるネットワークに、予防的な対策を講じておきましょう。
自分が普段使用するWi-Fiネットワークに、赤の他人を接続させてはいけません。家でも職場でも、ゲスト用のWi-Fi接続を使用可能にしておきましょう。これにより、暗号化とパスワードで保護されたメインの接続を、セキュアで傍受されない状態にしておくことができます。万が一、誰かが情報を「盗聴」しようとしても、あなたやほかの人が非公開にしておきたい活動へのアクセスができなくなります。
VPNを使用しましょう。有線、無線、携帯電話など、普段使用しているネットワーク上の誰かがトラフィックを傍受する方法を見つけた場合でも、仮想プライベートネットワーク(VPN)を使用すれば、傍受されるのを防ぐことができます。VPNは、非公開で暗号化された「トンネル」を、使用する任意のインターネット接続に設置するサービスです。不愉快な覗き見から接続を守るだけでなく、データを匿名化することにより、 Cookieやその他の手段での追跡も防止することができます。
ネットワークに接続されたすべてのデバイスやサービスのセキュリティを確保しましょう。多くの人は、モバイルデバイスや従来のコンピューターデバイスでインターネットセキュリティを確保する方法を知っています。しかし、スマートデバイスやクラウドサービスに加え、ネットワーク自体のセキュリティを確保することも同様に重要です。車載インフォテインメントシステムや家庭内ネットワークのルーターなど、よく見逃されるデバイスも必ず保護の対象としましょう。こうしたデバイスからデータが漏洩すると、ソーシャルエンジニアリング詐欺の標的とするための個人情報の調査に悪用される危険があります。
デバイスそのものを守ることは、他のすべてのデジタル行動と同様に重要です。携帯電話、タブレット、その他のコンピューターデバイスを、次に記載する方法で保護しましょう:
総合的なインターネットセキュリティ製品を使用しましょう。ソーシャル戦術が成功すれば、マルウェアへの感染もよくある結果となります。ルートキットやトロイの木馬、その他のボットに対抗するため、マルウェアの削除と侵入経路の追跡の両方に対応した、強力なインターネットセキュリティ製品をインストールしておくことが重要です。
公共の場で、デバイスがセキュリティ保護されていない状態にしてはいけません。特に仕事中は、コンピューターやモバイルデバイスは常にロックしておきましょう。空港やカフェなどの公共スペースでデバイスを使用する場合は、常にデバイスを手元に置くようにしてください。
ソフトウェアはすべて、アップデート可能になった時点ですぐにアップデートしましょう。すぐにアップデートすれば、ソフトウェアに不可欠なセキュリティ修正を適用できます。OSやアプリのアップデートをスキップしたり遅らせたりすると、ハッカーが標的とする既知のセキュリティホールが無防備なままになります。コンピューターやモバイルデバイスの多くのユーザーがアップデートをすぐに適用しないということを、ハッカーは熟知しています。マルウェアを使用したソーシャルエンジニアリング攻撃の最初の標的が、あなたになるかも知れません。
自分のオンラインアカウントで、データ漏洩の発生が発表されていないかチェックしましょう。カスペルスキー プレミアムなどのサービスは、顧客のメールアドレスの新規および既存のデータ侵害を常に監視しています。漏洩したデータに顧客のアカウントが含まれていた場合、対処方法に関するアドバイスとともに通知を送信します。
ソーシャルエンジニアリングからの自衛手段は、教育から始まります。すべてのユーザーが脅威を意識すれば、集団社会としての安全性は向上します。学んだことを同僚、家族、友人と共有して、これまで述べてきたリスクに対する意識を高めていきましょう。
関連記事