content/ja-jp/images/repository/isc/2020/how-social-engineering-attacks-work.jpg

ソーシャルエンジニアリングとは

サイバーセキュリティについて考えるとき、ほとんどの人は、ハッカーによる技術的な弱点を利用したデータネットワークへの攻撃からどう身を守るかを検討するでしょう。しかし、組織やネットワークに侵入する方法は他にもあります。それは人の弱みにつけ込むという方法です。これはソーシャルエンジニアリングと呼ばれ、人をだまして情報を漏洩させたりデータネットワークへのアクセスを有効にさせたりすることです。

たとえば、侵入者がITヘルプデスクのスタッフになりすまして、ユーザーにユーザー名やパスワードなどの情報を提供するよう依頼することもあります。それが特に正当な担当者から要求されているように見えると、驚くほど多くの人が深く考えずにその情報を進んで提供してしまうのです。

簡単に言うと、ソーシャルエンジニアリングとは、個人を操り、情報やデータへのアクセスを可能にしたり漏洩させたりするだましの手法です。

ソーシャルエンジニアリング攻撃の種類

ソーシャルエンジニアリング攻撃にはさまざまな種類があります。ですから、ソーシャルエンジニアリングの定義と、その仕組みを理解することが重要です。基本的な手口が理解できれば、ソーシャルエンジニアリング攻撃を見つけやすくなります。

釣り餌

釣り餌は、マルウェア入りのUSBメモリなどの罠を仕掛けます。中に何が入っているのかを知りたくて誰かがメモリをUSBドライブに差し込むと、システムに不正侵入されてしまうかもしれません。実は、USBメモリがコンピュータを破壊することもあります。USBドライブからの電力で充電した後、放電して激しい電力サージを引き起こし、その電力を供給していた機器に損傷を与えるのです。安価なUSBメモリを使って、このような攻撃が行われる可能性があるのです。

プリテキスティング

この攻撃は、もっともらしい話をして、標的にした人の関心を引いてだまし、情報を入手します。たとえば、インターネット調査で始めはまったく悪意がなさそうに見せておいて、そのうち銀行口座の詳細情報を尋ねたりします。または、クリップボードを持った人がやって来て、内部システムの監査を実施していると言うかもしれません。ところが、彼ら肩書は偽であり、実は貴重な情報を盗もうとしている輩かもしれません。

フィッシング

信頼できるソースから発信されたように見せかけてメールやテキストメッセージを送りつけ個人情報を要求するフィッシング攻撃も、ソーシャルエンジニアリングの一種です。よく知られているのは、銀行からのメールと思わせて顧客にセキュリティ情報を「確認」するよう要求し、偽のサイトに誘導してログイン認証情報を窃取するというタイプです。「スピアフィッシング」は、企業内の1人を標的にして会社の上級管理職からを装ったメールを送り、機密情報を要求します。

ソーシャルエンジニアリング攻撃から身を守る方法

ビッシングとスミッシング

このタイプのソーシャルエンジニアリング攻撃は、フィッシングの一種である「ボイスフィッシング」です。つまり、電話をかけてデータを要求します。たとえば、ITヘルプデスクのふりをして、ログイン情報を要求します。スミッシングは、電話の代わりにSMSメッセージを利用してこのような情報を入手します。

スケアウェア

「公正な交換は強奪にあらず」と言われますが、この場合は強奪です。ソーシャルエンジニアリング攻撃は被害者を騙して、問題解決のためにはデータやアクセスを提供する必要があると信じ込ませます。これがまさに「スケアウェア」とよばれる悪意のあるプログラムのやり口です。緊急のセキュリティ問題に対処するためにシステムのアップデートが必要だとユーザーを騙すのですが、実は、スケアウェア自体がセキュリティ上の脅威であり、金銭や個人情報を盗まれたり不正侵入されたりするなどの被害が発生してしまいます。

連絡先へのスパムメール送信とメールのハッキング

このタイプの攻撃は、メールやソーシャルメディアアカウントをハッキングして被害者の連絡先に不正アクセスするところから始まります。連絡先にリストされていた友人や知人に対し、その被害者を騙って連絡し、盗難に遭いクレジットカードがすべて盗まれた、ついてはこの銀行口座に送金してくれないか、という偽のメッセージを送りつけるのです。また、「友達」を語ってマルウェアやキーロガー付きトロイの木馬にリンクしている「必見動画」を送ってくる場合もあります。

ファーミングとハンティング

最後に、これまで説明したものよりもはるかに進化したソーシャルエンジニアリング攻撃を紹介します。これまでご説明した単純な手法のほとんどは、「ハンティング」タイプです。要は不正侵入し、情報を手に入れて、出ていきます。

しかし、ソーシャルエンジニアリング攻撃の中には、標的と人間関係を築き、長期間かけてより多くの情報を引き出すタイプのものもあります。これは「ファーミング」と呼ばれており、見つかる可能性が高くなるため攻撃者にとってはリスクが高い攻撃です。ただし、侵入に成功すれば、はるかに多くの情報を入手することができます。

ソーシャルエンジニアリング攻撃を回避する方法

ソーシャルエンジニアリング攻撃は対策が非常に困難です。好奇心や、権威に対する敬意、友達を助けたいという願望など、人間に本来備わっている特性を利用するように設計されているからです。ソーシャルエンジニアリング攻撃を見つけ出すのに役立ついくつかのヒントをご紹介しましょう。

発信元を確認する

その情報がどこから来たのかを、時間をとって考えてみてください。やみくもに信用してはいけません。出所のわからないUSBメモリがデスクの上に置かれていましたか。突然電話がかかってきて、あなたは500万ドルを相続したと告げられましたか。CEOからメールが届き、大量の従業員の個人情報を要求されましたか。どれもすべて疑わしく思われますので、注意して対応する必要があります。

発信元を確認するのは難しくありません。たとえばメールの場合は、メールヘッダーを確認し、同じ送信者からの本物のメールと照合しましょう。リンク先を調べましょう。なりすましのハイパーリンクは、カーソルをその上に合わせるだけで簡単に見つけることができます(リンクをクリックしないでください!)。おかしな日本語が混じっていないかを確認しましょう。銀行には、顧客とのやり取りを専門とする有能な人材が集まったチームがありますので、単純な誤字脱字があるメールはおそらく偽物です。

疑わしい場合は、公式サイトにアクセスして正式な担当者に連絡しましょう。そうすればそのメールやメッセージが公式のものか偽物かを確認してもらえます。

何の情報が提供されているかチェック

その発信元は、あなたのフルネームなど、知っていて当然の情報を持っていますか。銀行から電話がかかってきたなら、銀行はそのようなデータを目の前に用意しているはずですし、口座の変更を許可する前に必ず確認をします。そうでない場合は、偽のメール、通話、メッセージである可能性が各段に高くなりますので、注意が必要です。

ループを断ち切る

ソーシャルエンジニアリングは危機感を利用することがよくあります。攻撃者にとっては、何が起こっているのか標的がじっくり考えないほうが望ましいのです。ですから時間をとって考えれば、このような攻撃を防ぎ、それが偽者なのかはっきりさせることができます。

電話でデータを教えたり、リンクをクリックしたりせずに、公式の電話番号にかけるか、公式のWebサイトのURLにアクセスしましょう。別の通信方法を使用して、発信元の信頼性を確認しましょう。たとえば、友達から電信送金を求めるメールが届いた場合は、携帯電話にテキストメッセージを送信するか電話をかけて、本当にメールを送ったかどうかを友達に確認してください。

IDを要求する

最も簡単なソーシャルエンジニアリング攻撃の1つは、大きな箱や大量のファイルを両手に抱えてセキュリティを回避し、建物に侵入するというものです。ドアを開けて入れてあげる親切な人はどこにでもいるので、その親切を悪用しようというのです。これに引っかからないでください。必ず身分証明書を見せるよう要求しましょう。

これは他の手法にも当てはまります。電話をかけてきた人の名前と電話番号を確認して、「誰からの指示か」を尋ねるのは、情報を要求されたときの基本対応です。次に、機密情報や個人データを提供する前に、組織図や電話帳を確認しましょう。情報を要求する人のことを知らず、情報を手渡すことに不安を覚えるなら、別の人に再確認する必要があると告げて、しっかり確認した後でまた戻ってきましょう。 

ソーシャルエンジニアリングの危険性とプライバシーへの脅威

スパムフィルターを使用する

メールプログラムがきちんと迷惑メールを削除していない場合や、メールを疑わしいものとしてマークしていない場合は、設定を変更することをお勧めします。優れたスパムフィルターは、さまざまな情報を使用して、どのメールが迷惑メールである可能性が高いかを判断します。疑わしいファイルやリンクを検知し、疑わしいIPアドレスや送信者IDのブラックリストを作成し、メッセージの内容を分析して偽物の可能性が高いものを特定します。

本当にあり得る話なのかよく考える

ソーシャルエンジニアリング攻撃の中には、ユーザーをだまして分析されないようにすることでうまく機能しているものがあります。ですから時間をかけて状況が現実的かどうかを評価すれば、多くの攻撃を見つけ出すことができます。たとえばこんな状況を考えてみてください。

  • 友達が本当に中国で行き詰まり窮地に立たされている場合、メールを送ってきたり、電話をかけてきたり、テキストを送ってきたりするでしょうか。
  • ナイジェリアの王子が遺言で百万ドルを残してくれる可能性はあるでしょうか。
  • 銀行が電話をかけてきて口座の詳細情報を尋ねてくるでしょうか。多くの銀行は、顧客にメールを送信したり電話をかけたりした日時を記録しています。ですから、確信が持てないときは本当に連絡してきたのか再確認しましょう。

あわてない

会話に切迫感を感じるときは特に注意してください。これは、悪意のある者が、標的にその問題についてじっくり考えさせないようにするためのよくある手口です。急かされたら、対応のペースを落としてください。その情報を用意する時間が必要だ、部長に聞かなければならない、今は適切な情報を持っていないなど、何でもよいので、ペースを落として考える時間を作れる理由を言いましょう。

攻撃者はたいていの場合、驚かせることで得られる利点を失ったことに気付くと、それ以上強引なことはしません。

デバイスを保護する

ソーシャルエンジニアリング攻撃に引っかかってしまったとしても、被害を低減できるように、デバイスを保護することも重要です。スマートフォンでも、シンプルな自宅のネットワークでも、大規模なエンタープライズシステムでも、基本原則は同じです。

  • マルウェア対策ソフトウェアとウイルス対策ソフトウェアを最新の状態に保ちましょう。フィッシングメール経由で送信されるマルウェアがインストールされるのを防ぐことができます。カスペルスキー セキュリティなどの製品を使用して、ネットワークとデータを安全に保ちましょう。
  • ソフトウェアとファームウェア、特にセキュリティパッチは定期的に更新しましょう。
  • スマートフォンをroot化して実行したり、ネットワークやPCを管理者モードで実行したりしないようにしましょう。そうすればソーシャルエンジニアリング攻撃で一般ユーザーアカウントのパスワードを盗まれても、システムの設定を変更されてしまったり、ソフトウェアがインストールされてしまったりする被害を防ぐことができます。
  • 複数のアカウントに同じパスワードを使いまわししないようにしましょう。ソーシャルエンジニアリング攻撃でSNSアカウントのパスワードを盗まれてしまっても、他のサービスにも不正侵入されないように対策してください。
  • 大事なアカウントについては2要素認証を採用して、パスワードを持っているだけではアカウントにアクセスできないようにしましょう。2要素認証には、音声認識、セキュリティデバイスの使用、指紋、SMS確認コードなどがあります。
  • アカウントのパスワードを教えた後で、あれはソーシャルエンジニアリング攻撃だったのかもしれないと思った場合は、ただちにパスワードを変更しましょう。
  • 当社のリソースセンターの記事を欠かさず読んで、最新のサイバーセキュリティに関する知識を常に入手しましょう。新しい攻撃手法に遭遇してもその手法をすでに知っていれば、被害者になる可能性がはるかに低くなります。

デジタルフットプリントについて考える

デジタルフットプリント(ネットに公開している自分の情報)について考えるのもお勧めです。SNSなどを通じて個人情報をオンラインで共有しすぎると、攻撃者に手を貸すことになります。たとえば、多くのサービスは秘密の問題として「最初のペットの名前」を聞く可能性があります。それをFacebookで共有していませんか。もしそうなら、秘密の質問はもう秘密ではありません! また、ソーシャルエンジニアリング攻撃の中には、ユーザーがSNSで共有した最近の出来事を参照して、信頼を得ようとするものもあります。

SNSの公開範囲を「友達のみ」にして、共有する内容に気を付けることをお勧めします。神経過敏になる必要はありません。ただ気を付けましょう。

オンラインで共有する個人情報には、気をつけることが他にもあります。たとえば、利用者のプロファイルを公開するインターネットサービスを利用している場合は、住所、電話番号、生年月日などの個人情報を不用意に公開しないよう気をつけましょう。これらはソーシャルエンジニアリング攻撃を行う場合とても有益な情報です。被害者を選ばないソーシャルエンジニアリング攻撃もありますが、ターゲットを絞り込み用意周到に被害者をだます攻撃もあります。犯罪者が利用できる情報を少なくしましょう。

ソーシャルエンジニアリングは、日常よくある状況を悪用した攻撃のため、非常に危険です。ただし、それがどのような仕組みなのかを十分に把握し、基本的な対策を行えば、ソーシャルエンジニアリングの被害者になる可能性ははるかに低くなるでしょう。

関連リンク

ソーシャルエンジニアリングの定義

マルウェアがコンピュータとITシステムに侵入する仕組み

技術サポート詐欺

ソーシャルエンジニアリング攻撃を回避する方法

ソーシャルエンジニアリング攻撃とはどんなものなのでしょう。この疑問にお答えし、被害者にならないようにする方法をご紹介します。この記事を読んで、ご自分の身を守る方法を見つけてください。
Kaspersky Logo