ソーシャルエンジニアリングは、心理的な操作を通じて機密情報を取得する詐欺の一種です。この手法は、技術的なハッキングよりも簡単に実行できるため、近年多くの企業や個人がその被害に遭っています。本記事では、ソーシャルエンジニアリングの定義や具体的な手口、実際の被害事例、そして有効な対策について詳しく解説します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、心理的な手法を用いて人々から機密情報を引き出す詐欺手法です。攻撃者は、個人や組織の弱点を突き、パスワードやクレジットカード情報、個人情報などを盗み出します。この手法は、技術的なハッキングよりも簡単に実行できるため、サイバー犯罪の中で非常に一般的です。最近では、ソーシャルメディアの普及により、より多くの情報が公開されるようになり、攻撃者がターゲットを見つけやすくなっています。

ソーシャルエンジニアリングの手口

ショルダーハッキング

ショルダーハッキングは、他人がパスワードや機密情報を入力する際に、肩越しにその情報を覗き見る手法であることから、そのように呼ばれています。例えば、公共の場でATMを利用する際に、背後からPINコードを盗み見られることがあります。

この手法は、物理的な接近が必要ですが、巧妙に行えば簡単に機密情報を入手できます。

スピアフィッシング攻撃

スピアフィッシング攻撃は、特定の個人や組織を狙った詐欺メールを送信し、重要な情報を引き出す手法です。攻撃者は、ターゲットに信頼される人物や機関を装い、リンクをクリックさせたり、添付ファイルを開かせたりします。例えば、企業の経理担当者に対して、上司を装ったメールを送り、送金指示を出させるケースが一般的です。

スパイウェア

スパイウェアは、ユーザーの許可なくコンピュータにインストールされ、情報を収集する悪意のあるソフトウェアです。このソフトウェアは、キーストロークの記録やスクリーンキャプチャ、ファイルの送信などの機能を持ち機密情報を盗みます。スパイウェアは、フリーソフトウェアのダウンロードや不審なメールの添付ファイルを開くことでインストールされることが多いです。

スケアウェア

スケアウェアは、偽の警告メッセージやポップアップを表示しユーザーに不正なソフトウェアをインストールさせる手法です。例えば、ウイルス感染を警告するメッセージを表示し、偽のアンチウイルスソフトを購入させるケースがあります。ユーザーは、これに驚いて指示に従い、結果としてマルウェアがインストールされます。

フィッシング詐欺、スミッシング

フィッシング詐欺とは、信頼できる組織や個人になりすまして、不正なメールを送りつけ、個人情報を盗む手法です。スミッシングは、これをSMSを利用して行うバージョンです。例えば、銀行を装ったメッセージで、リンクをクリックしてアカウント情報を入力させる手口が一般的です。

トラッシング

トラッシングとは、ゴミ箱から機密情報を物理的に回収する手法です。例えば、企業のゴミ箱からシュレッダーされていない書類を拾い上げ、重要な情報を入手することが含まれます。この手法は、特に紙ベースの情報が多い環境で有効です。

ソーシャルエンジニアリングの被害事例

公表月教育機関 種類概要
2018年4月新潟県立坂町病院

※参照:ScanNetSecurity
ー研修医52名の個人情報が流出ー
新潟県立坂町病院の事務職員が医師を騙る者に対して当該病院に勤務していた研修医の個人情報を電話で漏えいしていたことが判明したと発表した。

同日15時頃に、医師を騙る者から同病院に勤務していた研修医の氏名及び携帯電話番号の問い合わせがあり事務職員が口頭で回答したところ、電話終了後に不審に思った上司が電話内容について確認したところ虚偽の問い合わせであったことが判明したというもの。

漏えいした個人情報は、2014年6月以降に同病院で勤務した研修医52名の氏名及び携帯電話番号。

ソーシャルエンジニアリングの対策

セキュリティソフトの導入

ソーシャルエンジニアリングから身を守るためには、最新のセキュリティソフトを導入することが重要です。これにより、不正なアクセスやマルウェアのインストールを防ぐことができます。特に、リアルタイムでの監視機能を持つソフトウェアが有効です。

取引先とのやり取り、機密情報の取り扱い等のルール策定

取引先とのやり取りや機密情報の取り扱いに関する明確なルールを策定することが重要です。例えば、重要な情報は暗号化して送信し、信頼できる方法でのみ共有するようにすることが推奨されます。また、従業員への教育も欠かせません。

不審なメール・不審なファイルなどの対処ルールを策定

不審なメールやファイルに対する具体的な対処ルールを設けることが必要です。例えば、疑わしいメールや添付ファイルは即座に削除し、送信者の正当性を確認するまで開かないように指導します。さらに、従業員全員がルールを理解し徹底できるように、定期的な研修を行うことが大切です。

入退出管理の徹底

物理的なセキュリティ対策として、入退出管理を徹底することが重要です。オフィスやデータセンターへのアクセスは、認証された人物のみが許可されるようにし、監視カメラやバイオメトリクス認証を導入することでセキュリティを強化します。

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。