業界/資格

ソーシャルエンジニアリングとは？主な手口7つと対策9選

2023年11月22日

IT 社会生活

はじめに

アナログな手口で不正情報収集、システムへの攻撃を目標とする
人の心理的な隙や行動ミスを利用するのがポピュラーな手口
社会の高度情報化に伴い被害規模が大きくなっている
対策は心がけレベルから全社におけるルール策定まで多種多様
対策後も万が一に備え恒常的にアップデートを続ける必要がある

情報化社会ではソーシャルエンジニアリングによる損害が大きなものになり、ますます注意が必要となっています。しっかりと基本的な部分を抑え、対策をとっていく必要があります。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとはなんでしょうか？それはマルウェアやスパイウェアなどを使わないで、個人のパスワードや機密情報を盗み出す手法のことです。
わかりやすく例をあげると、企業内の情報システム部門の社員になりすまして、電話やメールといった経路から「会社内のシステムへログインするために必要なIDやパスワードなど」を入手する、といったものになります。
攻撃者は、複雑・高度化していくシステムをどうにかするよりも、そこで働く人へアプローチする方が簡単で効率的だと考えているのです。ソーシャルエンジニアリングには、心理的な隙や行動のミスにつけ込みアナログ的な手口で情報を搾取していくという特徴があります。

こちらの記事【新卒向け】陥りがちなコンプライアンス違反の事例と注意点ではソーシャルエンジニアリングなどの付け入る隙となる「やってしまいがちな社会人としての失敗」について詳細に解説し注意を促しているのでオススメです。また、こちらの記事社会人としての意識とは？めざせ！学生気分からの脱却ではソーシャルエンジニアリングなどの付け入る隙をつくらない「社会人としての心構え」について解説している記事です、ご一読ください。

近年増えているサプライチェーン攻撃

近年、それなりに大きな企業ではセキュリティ対策がしっかりとおこなわれつつあります。ソーシャルエンジニアリングに限らず攻撃を仕掛ける側としては難しい状況になりつつあるので、比較的攻撃の容易な中小・零細企業が狙われがちです。セキュリティのあまい企業を経由して取引関係がある大手企業への侵入・攻撃を目指す、という手口が増えています。こういった攻撃方法を「サプライチェーン攻撃」とよび、いまや企業規模に関係なくサプライチェーン攻撃への対策は必須となっています。

こちらの記事サプライチェーンとは？社会人が知っておきたい知識を簡単に解説は、サプライチェーンについて詳細に解説している記事です、ご一読ください。

ソーシャルエンジニアリングの手法7選

ここからは「ソーシャルエンジニアリングに該当するものはどれか？」という疑問に答えるためにポピュラーな手法を7つ解説していきます。これら基本的な手口に引っかかることのないように注意していきましょう。

1.関係者へのなりすまし

主な手口の一つ目としては「なりすまし」です。関係者になりすまして「パスワードをなくしてしまったので教えてください」と電話やメールで聞き出す、といった類のものです。
だれでも簡単に思いつくほど単純なものですが、知人からのメールに偽装されていると、案外簡単にだまされてしまうもので、つい親切心から教えてあげたくなってしまうのではないでしょうか。
また「パスワード」など重要な情報を教えてはいけないとは理解している人でも、「氏名・電話番号・誕生日」といった比較的機密性の低い情報を教えてしまうケースもありますので気をつけてください。

2.フィッシング

主な手口のふたつ目にあげるのは「フィッシング（PHISHING）」です。
これはかなり有名で、不特定多数のユーザに対し「送信者・件名・内容」が偽物のメッセージを送りつけてフィッシングサイトへ誘導する手法のことです。情報化が進み、その流れでインターネット上のさまざまなサービス提供に伴って増加・高度化しています。
また、その中の派生として「スピアフィッシング」というものがあります。スタンダードなフィッシング攻撃は不特定多数の人間をターゲットにしますが、スピアフィッシング攻撃では対象を絞り込みます。その人・組織に合わせて「送信者・件名・内容」を偽装し、攻撃の成功確率を高めて目的達成する、というのが特徴です。
ひと口にフィッシングといっても多くの種類がありますので、そこを踏まえたセキュリティ対策が重要です。

3.ショルダーハッキング（のぞき見）

オーソドックスなソーシャルエンジニアリングの手口に「ショルダーハッキング」があり、これはいわゆる「肩越しにのぞき見する様子」からつけられた名称になります。
たとえば、あなたがキーボードからパスワードや重要情報などを入力している様子・ディスプレイ画面の表示内容を、背後・隣などから盗み見て情報収集をすることがそれです。
注意してほしいのは、デジタル情報だけでなくアナログ的な書類などの内容も、その対象に含まれます。かなり古くから存在する手法です。

4.スケアウェア（感染を装う）

あまり聞きなれないソーシャルエンジニアリングの手口に「スケアウェア」というものがあります。これは画面上でマルウェア・スパイウェアに感染したかのように偽装して、こちらの不安をあおってくるという手口です。マルウェア・スパイウェアのダウンロードや支払いに誘導してきます。パソコンだけでなく、スマートフォンやタブレットなど、他のIT機器も攻撃対象に含まれますので注意してください。
画面に「ウィルスに感染しています」や「システムが破損しています」など偽警告が、ポップアップで表示されることもありますが、これがスケアウェアです。

5.トラッシング（ゴミ漁り）

ソーシャルエンジニアリングの手口の一つ「トラッシング（TrashIng）」は、ゴミ箱に捨てられた紙の資料や記憶媒体などから機密情報を収集する行為のことです。近年では「パソコンのゴミ箱」も含まれるようになり、デジタルの情報にも注意が必要です。
いちどでも不用品として捨てたものに対しては意識を向けることも難しいのではないでしょうか。

6.リバース・ソーシャルエンジニアリング

今まであげてきたソーシャルエンジニアリングの手口は「攻撃者からアプローチする」ものです。しかし、リバース・ソーシャルエンジニアリングとよばれる手口は「ターゲットから攻撃者に連絡を取らせる」となります。
わかりにくいかもしれませんので例をあげると、「電話番号が変更になった」などをメール・電話で通知して来て、そちらの偽の連絡先にターゲットからの連絡を促す、といった具合です。だまされて情報を流出させないように注意が必要です。

7.SNSを利用したソーシャルエンジニアリング

近年、高度情報化社会への変化に伴いSNSが大きく普及しています。それを背景に「SNS経由で情報を詐取する」ソーシャルエンジニアリングの被害が増大しているのです。
あちらとしては、攻撃対象のSNS投稿などを監視することで、相手の行動傾向や趣味・好みなど、ごく個人的な情報を収集できます。他にも偽装したアカウントで相手と接触して信頼させた上で、部屋・家に不在のタイミングを把握できます。そして、それらの情報をもとに空き巣に入ったりストーキングをしたりする、といった複雑で巧妙な手口も実行可能です。

ソーシャルエンジニアリング被害の実例

ここではソーシャルエンジニアリングによる被害の実例をふたつあげます。
「実際にこのようなことをしてくるのだな」と学べますので対策を立てるのに役立ててください。

2018年、数百億の仮想通貨が流出

2018年1月26日、仮想通貨の不正流出がおきました。これはTVでも大々的に放送されたので、みなさんも覚えているかもしれません。
暗号資産取引所Coincheckが被害にあい、コインチェック株式会社で管理していた仮想通貨の一つである「NEM」が日本円相当で580億円分流出してしまった事件です。
攻撃者は管理者権限もちの社員を調査し、時間をかけて関係構築し、最後にウィルスつきのメールを送信しました。メールからコインチェック従業員のパソコンがマルウェアに感染して社内ネットワークに不正アクセスされ、結果として仮想通貨「MEM」の流出という事件が起きました。

2018年、県立病院における医師の個人情報流出

県立病院で勤務した研修医52名分の「氏名および携帯電話番号」が外部へ不正に漏えいしてしまったという事件です。
内容としては2018年4月17日15時ごろ、　病院外部からの電話に事務員が対応しました。電話の相手は医師を名乗り（なりすまし）「病院に勤務していた研修医の氏名と電話番号を聞きたい」との用件を告げたのです。病院の事務員はこの電話に、2014年6月以降に同病院で勤務した研修医52名分の当該情報を口頭で回答してしまいました。電話後に上司が不審に思い、内容について確認したところ個人情報を盗むための電話であったことが発覚、という事件です。

ソーシャルエンジニアリングへの対策9選

ここまでは「ソーシャルエンジニアリングのポピュラーな手口」について解説しました。では次のステップとしてそれらへの対策について考えていきましょう。
ソーシャルエンジニアリングの被害にあわないためには何をしておけばいいのでしょうか。主な防止方法として9つを解説します。

1.業務上のやり取りに関するルールの策定

まず一つ目は「なりすまし対策」です。もし職場で個人情報や機密情報などを知りたいという電話やメールで受けた場合に、対応方法を全体で事前に決めておく必要があります。
たとえば「その場では回答しないようにする」とか「氏名・メールアドレス・パスワード・電話番号などの個人情報は外部に教えない」などです。

2.入退出管理

主なソーシャルエンジニアリングへの対策としては「入退出管理の徹底」があります。こちらはとくに、なりすまし・ショルダーハッキング・トラッシングなどの手口への防止対策として大変有効です。
入退室管理の徹底をすることで入室者へのチェックも厳しくなり、さらにすべての行動が記録に残ることになります。不審者の現場侵入をためらわせ、ソーシャルエンジニアリングの実行が困難となる対策です。

3.重要情報の取り扱いをする際には周囲を確認

他にもソーシャルエンジニアリング対策としては「重要情報の取り扱いをする際には周囲を確認する」というものがあります。こちららはショルダーハッキングへの対策として大変有効です。
人目にさらされる公の場所では、重要な情報は取り扱わない方がいいでしょう。また社内の信用できる場所であったとしても、個人情報や機密性の高い情報を取り扱う場合は、いちど周囲を確認してから処理する必要があります。

4.セキュリティソフトの導入・運用・更新

ポピュラーなソーシャルエンジニアリング対策として「セキュリティソフトの導入・運用・更新」というものがあります。これはフィッシング・スピアフィッシング攻撃などによる、スパイウェア・マルウェアに感染によって、情報漏えいしてしまうことを防ぐ対策です。
セキュリティソフトの導入・運用・更新をすることで、パソコンの不審な動作を監視でき、さらに詐欺サイトなどへのアクセスも制限できます。

5.不審なメール・ファイルの取り扱いルール策定

オススメのソーシャルエンジニアリング対策に「不審なメールは未読のままゴミ箱へ、不審なファイルは削除」というものがあります。対策の1では「情報の出し方」についてでしたが、今回は「入ってきた情報」に関する取り扱いルール策定です。
知人からのメールとはいっても不審なファイルは開かないことが基本です。もし開封する必要があるファイルの場合は、先方に電話など（メール以外の方法）で送付したファイルの内容を確認したり、セキュリティソフトで確認したりする必要があるでしょう。

6.書類のシュレッダー処理・溶解処理

他にもソーシャルエンジニアリング対策として必須なのは「書類のシュレッダー処理・溶解処理をする」というものがあります。これはトラッシング（TrashIng）に有効な対策です。
個人情報や重要情報などが記入されている重要廃棄書類は、必ずシュレッダーで裁断して復元できないようにするか、専門業者に溶解を依頼するのがいいでしょう。手間は増えますが、こうしておけばゴミ漁りによる情報漏えいは防げます。

7.離席時、パソコンなどのロックを徹底する

ソーシャルエンジニアリング対策の7つ目としては「離席時に画面をロックする」というものがあります。情報を盗み見たり、勝手に操作をおこなって情報を収集したりするのは、ソーシャルエンジニアリングのポピュラーな手口の一つです。
スマートフォンやタブレットなどのIT機器に関しても、できるだけ持ち歩くように心がけ、もし手元から離さざるをえない時には忘れずにロックをかけるようにしておきましょう。

8.重要情報の放置はNG

ソーシャルエンジニアリング対策の8つ目は「重要情報の机上、共有スペースへの放置を厳禁」というものです。会議室のホワイトボードに書いてある情報、机上で開きっぱなしのノート、ふ箋に書いた取引先の電話番号・パスワード、などについても同様に考えましょう。
自分の手から離れたものは、必ず情報を抜かれると考えておくべきです。ましてや内容が機密情報・個人情報であるならなおさらですので、しっかり対策しておいてください。

9.SNS利用ルールの策定

ソーシャルエンジニアリング対策の9つ目としては「SNS利用ルールの策定をしておく」というものです。
近年、SNSでのやり取りが一般化しており、業務上の連絡もSNSでおこなっている、といった話もよく聞きます。「X（旧Twitter）へ業務に関する情報を投稿してしまい、それがもとで困った事態になってしまった」といった例は多いでしょう。
こうした事態を防ぐためにも、SNS利用のルールを策定することが求められています。攻撃側に情報収集する隙を見せないことが重要です。