スニッフィング攻撃は、通信ネットワークを通じて送受信
ソーシャルエンジニアリングとは、広義にはなりすましを含む多様な手法を指します。
簡単に一言でいうと、「なりすまし」と捉えることができます。
ソーシャルエンジニアリングは他人に何かをさせたり、個人情報を暴露するために用いられる心理操作です。
ソーシャルエンジニアリングって聞くと、誰かの機密情報を引き出す、技術的なハッキング手法のように聞こえますが、心理的な操作を使って人々から機密情報を引き出す詐欺の一種です。
一般的な手法には、なりすまし、フィッシング、偽装、誘惑などがあり、これらはすべて人間の心理を利用しています。このブログでは、ソーシャルエンジニアリングの基本的な概念、一般的な攻撃手法や手口、そしてこれらから自分自身を守る対策方法について詳しく掘り下げていきます。
それでは詳しく見ていきましょう。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングは、人々をだまして機密情報を得たり、特定の行動をとらせたりする詐欺の技術です。この方法は、技術的なハッキングよりも人の心理や感情を利用することに重点を置いています。
例えば、攻撃者は信頼できる人物になりすまして、パスワードや個人情報などの機密情報を聞き出します。または、急を要する状況を装って、人々に普段はしないような行動をとらせることもあります。
データ漏洩事件の大部分、約70%から90%には、ソーシャルエンジニアリングが関与しているとされています。これは、現代のサイバーセキュリティにおいて、小規模なビジネスから大企業まで幅広く影響を与える主要な脅威の一つです。
「ヒューマンハッキング」とも呼ばれるソーシャルエンジニアリングは、サイバー犯罪の中で頻繁に使われる技術です。この手法では、犯罪者は被害者を騙して機密情報を開示させたり、マルウェアに感染させたり、セキュリティが厳重なシステムへのアクセスを許可させることが目的です。攻撃は、対面のやり取りだけでなく、オンライン上でのやり取りを通じても行われることがあります。ソーシャルエンジニアリングによる詐欺は、個人の思考や行動の特性を利用し、それに基づいて巧妙に設計されています。
この手法の危険性は、技術的なセキュリティ対策だけでは完全には防げないことにあります。では実際にどのようにして発生するのか原因や手口など次の章で見ていきましょう。
ソーシャルエンジニアリングの仕組み:攻撃の過程
ソーシャルエンジニアリング攻撃は、人間の心理的な弱点や行動のパターンを利用することによって発生します。この種の攻撃は、人々が自然に持つ信頼、好奇心、恐怖、義務感などの感情を悪用することが一般的です。攻撃が発生する過程は以下のように説明できます。
1. 情報収集
攻撃者は、ターゲットに関する情報を収集します。これには、社交メディア、公開されている記録、企業のウェブサイトなどから得られるデータが含まれます。
2. 信頼関係の構築
攻撃者は、信頼できる個人や組織になりすますことで、ターゲットの信頼を得ようとします。これは、電子メール、電話、または直接の対面によって行われることがあります。
3. 心理的操作
信頼関係が構築された後、攻撃者はターゲットを操作して、機密情報を提供させたり、特定の行動をとらせたりします。たとえば、緊急性を装って行動を促したり、好奇心を利用して不審なリンクをクリックさせたりします。
4. 情報の悪用
相手にそのリンクをクリックさせたり、お金を振り込ませることで実際の被害に及ばせます。
また得られた情報は、金銭的な盗難、アイデンティティ盗用、システムへの不正アクセスなど、さまざまな目的で悪用されます。
ソーシャルエンジニアリング攻撃は、技術的なセキュリティ対策を迂回することができるため、特に危険です。少しでもメッセージしている相手に疑問を感じたら行動を慎重にすることが重要です。
ソーシャルエンジニアリング攻撃の種類
ソーシャルエンジニアリング攻撃には様々な種類がありますが、主なものを以下に簡単に説明します。
- フィッシング攻撃
- スピアフィッシング攻撃
- プリテキスト(偽装)攻撃
- スミッシング
- ビッシング
- トラッシング(ゴミ漁り)
- ショルダーハッキング(覗き見)
フィッシング攻撃
フィッシングは、ソーシャルエンジニアリング攻撃の最も一般的なタイプで、被害者を誘い込み、自発的に機密情報を開示させることを目的としています。 これは、特定のストーリーやイメージが本物であるかのように通用させることで実現されます。 フィッシングは、PDF ファイルや Word ファイルを装った悪意のある添付ファイルを介して行われることがほとんどです。
スピアフィッシング攻撃
スピアフィッシング攻撃は、フィッシング攻撃の一種で、特定の個人や組織を標的とするものです。通常のフィッシングがランダムに大勢の人々に向けられるのに対し、スピアフィッシングはよりパーソナライズされ、特定のターゲットに焦点を当てます。ターゲットに関する具体的な情報を用いるため、通常のフィッシングよりも信頼性が高く、見破るのが相当難しいとされています。
プリテキスト(偽装)攻撃
プリテキスト攻撃(偽装攻撃)は、ソーシャルエンジニアリングの一形態で、攻撃者が信頼できる人物や権威ある役職になりすまして、犠牲者から機密情報を引き出す手法です。この攻撃は、事前に計画され、犠牲者をだまして情報を提供させるために、詳細なシナリオや背景ストーリーが用意されます。
スミッシング
攻撃者から自分の携帯電話番号に偽の SMS メッセージを送信された際に、スミッシングが発生します。 これらのメッセージには、無料商品の提供や、銀行やその他の機密情報に関わる一刻を争うような警告文が含まれていることがよくあります。 SMS メッセージは信用できるように書かれているため、サイバーセキュリティの基本的な概念に慣れていない人にとって、スミッシングは特に危険なものです。 ストーリーを売り込むために、スミッシングメッセージのいくつかには曖昧な個人情報まで含まれています。
ビッシング
ビッシング(Vishing)は、「Voice Phishing(ボイスフィッシング)」の略で、電話を使って行われる詐欺の一種です。この手法では、攻撃者が電話を通じて信頼できる人物や機関になりすまし、相手から機密情報をだまし取ることを目的としています。スミッシングとビッシングと混同されがちですが、ビッシングはターゲットとの接触方法に SMS のテキストメッセージを使い、後者は音声通話を使う点です。
トラッシング(ゴミ漁り)
トラッシング(ゴミ箱をあさる方法)は、ソーシャルエンジニアリングの一種で、捨てられた文書やデータメディアを探し出し、機密情報や個人情報を収集する行為です。この手法は、企業や個人が不注意に廃棄した情報から、重要なデータを得ることを目的としています。
なので、書類やデバイスなどを廃棄する際はしっかりとデータが残っていないか注意が必要にになります。
ショルダーハッキング(覗き見)
ショルダーハッキングは、他人がパスワードや機密情報を入力するのを物理的に盗み見る行為です。攻撃者は、公共の場所やオフィスなどで、ターゲットの近くに立ち、彼らがキーボードやスクリーンを使用する様子を観察します。この方法で、ATMのPIN番号、スマートフォンのロック解除コード、コンピュータのパスワードなどが盗まれることがあります。ショルダーハッキングは技術的なスキルを必要とせず、日常的な環境で発生しやすいため、個人は入力情報の周囲のセキュリティに注意を払う必要があります。
ソーシャルエンジニアリングの実例
実例1: 本人を装ったフィッシングメール
ソーシャルエンジニアによる攻撃は、1 つまたは複数のステップを経て行われることがあります。 攻撃の準備のために、攻撃者はまずターゲットを調べ、悪用できそうなポイントや不十分なセキュリティ対策などの背景詳細を確認します。 攻撃者は被害者の信頼を得るために努力し、機密情報の開示や内部システムへのアクセス許可など、後のセキュリティ侵害行為につながる動機を提供します。 2019 年 3 月、米国司法省は、リトアニア国籍のエヴァルダス・リマサウスカス氏が、Google と Facebook の両大企業に属する特定の従業員にフィッシングメールを送信して 1 億ドル以上をだまし取ったと公表しました。 リマサウスカス氏は、Google や Facebook と連携するコンピューターメーカーのふりをして、偽の会社を設立しました。 2013 年から 2015 年にかけて、リマサウスカス氏はメーカーが提供した商品やサービスの請求書を発行しましたが、自分の不正な口座に入金するよう指示していました。
実例2: 金融機関の従業員を装ったプリテキスト(偽装)
金融機関の従業員を装ったプリテキスト(偽装)攻撃の被害事例では、攻撃者が銀行の顧客に対して巧妙にアプローチします。まず、攻撃者は銀行の従業員になりすますことで、顧客の信頼を得るように工夫します。次に、攻撃者は「セキュリティチェックのため」と称して、顧客に電話やメールで連絡を取り、アカウント情報やパスワードを提供するよう要求します。このリクエストは、通常のセキュリティ手順の一部のように見せかけられます。
残念ながら、信頼関係を悪用された顧客がこの要求に応じると、提供された情報を攻撃者が即座に悪用します。攻撃者は、得られたアカウント情報を使用して顧客の銀行口座にアクセスし、そこから金銭を不正に引き出します。しかし、大切なのは、銀行側がそういった文章を送ることはない事を頭に入れておきましょう。
ソーシャルエンジニアリングから身を守る対策方法
ソーシャルエンジニアリングが原因と思われるサイバーインシデント件数が近年増加していると報告されています。 ソーシャルエンジニアリングとは、オンラインまたは直接近づき、コンピュータネットワークへのアクセスや他人へのなりすましのために利用できる個人情報を開示させるよう強要してくる手口です。やりとりしている中でおかしい点が絶対にあるはずなので、ソーシャルエンジニアリングの対策としてはそういった所をしっかり見逃さない所にかかっています。どのように対策していくべきか、実際に見ていきましょう。
- 従業員の教育と意識向上
- 常にやりとりする相手に疑問を持つこと
- 情報共有を制限する
- 二段階認証(2FA)の利用
- パスワードマネージャーでパスワード管理する
従業員の教育と意識向上
ソーシャルエンジニアリングの対策として有効なのは、教育と意識向上が鍵となります。これには、自分自身や従業員に対してソーシャルエンジニアリングの手法を教え、警戒意識を高めることが含まれます。さらに、定期的にセキュリティトレーニングや啓発プログラムを実施し、新しい詐欺の手法について更新し続けることが重要です。これにより、最新の脅威に対しても適切に対応できるようになります。
常にやりとりする相手に疑問を持つこと
ソーシャルエンジニアリングから身を守る上で重要なのは、懐疑的な姿勢を保つことです。これには、未知の送信者からのメールや通話に対して慎重になることが含まれます。特に、信頼できない出典からの情報要求には応じないことが重要です。知らない人からの要求や、不審な連絡には注意を払い、もし疑わしい場合は正当性を確認するために追加の手段を講じるべきです。このように警戒心を持つことで、詐欺や情報漏洩のリスクを減らすことができます。
情報共有を制限する
ソーシャルエンジニアリングのリスクを軽減する対策として、情報共有を制限することが重要です。個人情報や機密情報の共有は必要最小限に留め、特にソーシャルメディア上での情報公開には慎重になる必要があります。また、ソーシャルメディアのプライバシー設定を適切に管理し、不必要に多くの情報が公開されないように注意することが大切です。これにより、攻撃者が利用可能な情報を減らし、プライバシーを守ることができます。
二段階認証(2FA)の利用
ソーシャルエンジニアリングからの対策において、二段階認証(2FA)の利用は非常に効果的な対策の一つです。この方法では、通常のパスワードに加えて、もう一つの認証ステップが必要となります。例えば、携帯電話に送信される一時的なコードや、認証アプリを使ったコードなどがあります。この追加の認証手段により、たとえパスワードが漏洩しても、不正アクセスを大幅に防ぐことができます。二段階認証は、アカウントのセキュリティレベルを高め、重要なデータの保護に役立ちます。
犯人は、従業員、メンテナンス担当者、IT 担当者、またはそのような情報を知る必要があると思われる部外者になりすますかもしれません。 高レベルシステムへのアクセスは、パスワードボルト、セッションのロギングと追跡、二要素認証、自動プロビジョニングとデプロビジョニングなどの特権アクセス管理 (PAM)[a] を用いて厳しく制限され、モニタリングされる必要があります。
パスワードマネージャーでパスワード管理する
ソーシャルエンジニアリングからの対策には、パスワードの強化と管理が不可欠です。強力なパスワードの使用と定期的な更新は、アカウントのセキュリティを向上させます。パスワードマネージャーの利用は、このプロセスを容易かつ安全にします。パスワードマネージャーは、複雑でユニークなパスワードを生成し、それらを安全に保存し、必要なときに簡単にアクセスできるようにします。これにより、同じパスワードの再利用や、容易に推測可能なパスワードの使用を避けることができ、セキュリティリスクを軽減します。また組織内で必要なパスワードの最小特権での共有も可能なのでより良いセキュリティには欠かせません。
犯人は、従業員、メンテナンス担当者、IT 担当者、またはそのような情報を知る必要があると思われる部外者になりすますかもしれません。 高レベルシステムへのアクセスは、パスワードボルト、セッションのロギングと追跡、二要素認証、自動プロビジョニングとデプロビジョニングなどの特権アクセス管理 (PAM)[a] を用いて厳しく制限され、モニタリングすることで対策にもなります。
まとめ:ソーシャルエンジニアリングの対策を日頃から行いましょう
ソーシャルエンジニアリングから身を守るためには、教育と意識向上、懐疑的な姿勢、情報共有の制限、二段階認証の利用、そしてパスワードマネージャーを用いた安全なパスワード管理が鍵となります。これらの対策は、個人や組織のセキュリティを大幅に強化し、ソーシャルエンジニアリングの脅威に対する防御力を高めます。日々の行動にこれらの対策を取り入れることで、データ漏洩や詐欺のリスクを減らすことが可能です。常に警戒し、安全なデジタル環境を維持しましょう。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。