VPNは、インターネット上の通信を暗号化して、プライ
ソーシャルエンジニアリング攻撃には、フィッシング、プリテキスティング、スケアウェア、ベイティング、ビッシング、スミッシング、CEO 詐欺などの種類があります。 何がソーシャルエンジニアリングにあたるのかがわからない場合、個人情報を明らかにする目的で、誰かがあなたを操る方法をできるだけ多く想像してください。脅威アクターは、こうした心理的テクニックを直接的にもオンライン上でも使用して、個人や組織のソーシャルエンジニアリング攻撃には、フィッシング、プリテキスティング、スケアウェア、ベイティング、ビッシング、スミッシング、CEO 詐欺などの種類があります。 何がソーシャルエンジニアリングにあたるのかがわからない場合、個人情報を明らかにする目的で、誰かがあなたを操る方法をできるだけ多く想像してください。脅威アクターは、こうした心理的テクニックを直接的にもオンライン上でも使用して、個人や組織の情報にアクセスします。 このような悪意のあるアクターは、デバイスにマルウェアをインストールしたり、個人情報を盗んだり、さらには身元を偽ってあなたになりすましたりします。
ソーシャルエンジニアリング攻撃の例、およびソーシャルエンジニアリング攻撃の被害に遭わないようにする方法については、以下をご覧ください。
フィッシング
フィッシングとは、サイバー犯罪者が企業や家族など、被害者が知っている人や物になりすまし、個人情報にアクセスすることを指します。 フィッシングはソーシャルエンジニアリングに似ていると思われるかもしれませんが、実際にソーシャルエンジニアリング攻撃の一種です。 フィッシングは通常、メール、テキスト、電話などで発生し、被害者を説得してマルウェアをインストールさせたり、センシティブデータを引き渡させたりします。 しかし、テクニックとしてのソーシャルエンジニアリングは、フィッシングと同じ媒体に限定されません。 フィッシングはソーシャルエンジニアリングの一例ですが、すべてのソーシャルエンジニアリング攻撃がフィッシングに該当するわけではありません。
サイバー犯罪者がフィッシングを行う目的は、ターゲットとなる被害者にリンクをクリックさせ、マルウェアをデバイスにダウンロードさせたり、機密情報を盗んだり、なりすましのウェブサイトに誘導したりすることです。
注意すべき最も一般的なフィッシングの試みをいくつかご紹介します。
- 緊急性の高い文言によるメッセージ、特にあなたが迅速に行動しなければアカウントを停止すると脅迫する内容のメッセージ
- 金銭的に深刻な結果になるという脅し
- あまりにも良すぎると思われるオファー
- 既知の企業や個人を名乗るサイバー犯罪者からの個人情報の要求
- その人物が自分だと主張するメールアドレスやドメイン名が、実際のものと一致しない
ビッシングとスミッシング
フィッシングとは何かを知ったところで、他の類似のソーシャルエンジニアリング攻撃であるヴィッシングとスミッシングについて学ぶことが重要です。 ビッシングとスミッシングはどちらもフィッシング攻撃の一種ですが、脅威アクターが被害者を標的にする接触方法が異なります。
ビッシングは電話で行われるため、被害者は通話相手の音声を信じやすくなります。 最近では、サイバー犯罪者がAIを使って音声記録や動画を解析し、同僚や家族など被害者が知っている人物の声によりリアルになりすます種類のビッシング詐欺が行われています。 ビッシング攻撃から身を守る重要なステップの1つは、不明な番号からの電話に出ないことです。 電話機によっては、不明な相手からの電話を無音にする設定もあり、その場合は応答しようとも思わないでしょう。
スミッシングはテキストメッセージで行われ、SMS フィッシングとも呼ばれます。 スミッシングの被害者は、リンクをクリックし、いつも使用しているアカウントにログインさせようとする緊急の文言が記載されたテキストを受け取りします。 しかし、このリンクは正規のものではなく、脅威アクターは被害者が入力した認証情報を使用して、アカウントにアクセスします。 ビッシングの被害に遭わないようにするのと同様に、スミッシング攻撃の被害に遭わない簡単な方法として、不審なリンクを送信する電話番号をブロックすることが挙げられます。
プリテキスティング
別の種類のソーシャルエンジニアリング攻撃には、ストーリーを作成して被害者に個人情報を明らかにさせようとするプリテキスティングがあります。 脅威アクターは、プリテキストを使うことで被害者を心理的に操り、信用を得るために共感や恐怖を感じさせます。 サイバー犯罪者が、被害者に信じさせるための偽のストーリーを作ることで、その分被害者からの信頼が増し、お金を送ったり、センシティブな情報を共有したりする必要があると考える可能性が高まります。 プリテキスティングには、サイバー犯罪者が被害者の勤務先、関心(ソーシャルメディアアカウントを通じて)、誰と知り合いか(オンラインアクティビティを通じて)などの情報を知るための十分なリサーチが含まれます。 この種のソーシャルエンジニアリング攻撃では、被害者が知らず知らずのうちに詐欺に引っかかってしまい、自分自身や個人情報が危険にさらされる可能性があるため、特に有害です。
スケアウェア
スケアウェアとは、その名が示すとおり、被害者がウイルス対策ソフトに見せかけたマルウェアをダウンロードしてしまうことを利用します。これもソーシャルエンジニアリング攻撃の一種です。 サイバー犯罪者は、デバイスが感染したという緊急メッセージで脅すことで、被害者を恐怖に陥れ、そのセンシティブデータにアクセスできるための行動を完了させようと心理的に操作します。
最も一般的なスケアウェア攻撃の 1 つは、ポップアップ広告です。 例えば、新しいウェブサイトをクリックすると、広告が出てきてあなたのコンピューターがウイルスに感染したと偽のメッセージを表示するかもしれません。 ウイルスを止め、この問題を解決するために、破壊的な影響を及ぼすマルウェアを含むウイルス対策ソフトをダウンロードする、というメッセージをクリックしたくなるかもしれません。 ポップアップ広告をクリックしたり、「X」をクリックして広告を閉じようとしたりするのではなく、ブラウザのウィンドウを完全に閉じて、スケアウェア攻撃の犠牲者にならないようにしましょう。
ベイティング
ベイティングとは、サイバー犯罪者が被害者を誘導し、情報を盗まれたり、マルウェアに感染させられたりするような行動をとらせることを指します。マルバタイジングとは、被害者がオンライン上で見る可能性がある広告を使用して、サイバー犯罪者がマルウェアを被害者のデバイスに拡散させるベイティングの一種です。 ソーシャルエンジニアリング攻撃は、マルバタイジングによって被害者をだまし、データの漏洩を引き起こします。 例えば、オンラインで買い物をしていて広告をクリックした場合、マルバタイズメントがあなたのデバイスがウイルスに感染していると警告し、警告をクリックするかどうかにかかわらず、あなたのデバイスを感染させる可能性があります。 多くの人は、ベイティングはフィッシングと同じだと考えていますが、フィッシングではサイバー犯罪者が被害者の知り合いのふりをするのに対して、ベイティングではその必要がありません。
CEO 詐欺
サイバー犯罪者が組織の CEO になりすました場合、これを CEO 詐欺と呼びます。 この種のソーシャルエンジニアリング攻撃は、被害者が会社内の権威ある人物を信頼することを利用して、標的とした従業員を操作し、サイバー犯罪者に対して金銭を送金させたり、個人情報を共有させたりします。 CEO 詐欺はサイバー犯罪者が特定の被害者をターゲットにし、自分が会社の CEO であると信じ込ませて心理的に操るため、ソーシャルエンジニアリングの一種と考えられています。
ソーシャルエンジニアリング攻撃を防ぐ
これらのソーシャルエンジニアリング攻撃の例について学んだ後は、被害に遭わないようにする方法を学びましょう。 ソーシャルエンジニアリング攻撃の影響を防ぐための補足的なヒントとベストプラクティスをご紹介します。
これらのソーシャルエンジニアリング攻撃の例について学んだ後は、被害に遭わないようにする方法を学びましょう。 ソーシャルエンジニアリング攻撃の影響を防ぐための補足的なヒントとベストプラクティスをご紹介します。
ソーシャルメディアの普及により、ソーシャルエンジニアリング攻撃につながる可能性がある情報のオーバーシェアリングには無数の危険が伴います。
人生で起こるすべてのことを共有することで、フォロワーとつながっていると感じられるかもしれませんが、ソーシャルメディア上での情報の過剰な共有は、プライバシーを危険にさらす可能性があります。 自分自身に関する詳しい情報、いつも一緒に過ごしている人、仕事関連の情報、今いる場所などをタグ付けして投稿するのは避けましょう。 サイバー犯罪者は、ソーシャルエンジニアリング攻撃の形で、あなたの身元に関するこうした詳細な情報のいずれかを、あなたに対して使用することができます。
ソーシャルエンジニアリング攻撃から身を守る
この種のソーシャルエンジニアリング攻撃は、サイバー犯罪者が被害者の個人情報にアクセスするための手口を知らない人なら、誰でも影響を受ける可能性があります。 ソーシャルエンジニアリング攻撃から身を守り、ID の盗難、重要なアカウントへの不正アクセスなどのリスクを最小限に抑えるために必要な措置を講じましょう。
ソーシャルエンジニアリングによる被害を防ぐために、まずはKeeper パスワードマネージャーの 30 日間無料トライアルをお試しください。