ソーシャルエンジニアリングとは、コンピューターへのハッキング攻撃とは異なる手口です。攻撃者は、標的となる個人や組織に対して巧みに嘘や策略を使い、まるで正当な理由があるかのように装って接近します。そして、ログイン情報や機密データなどを不正に入手しようと企みます。

ソーシャルエンジニアリングは、ウィルス対策ソフトなどの対策では防ぎきれません。なぜなら、人間に直接アプローチをかけてくる点に大きな脅威があるからです。機密情報を扱う人間各々が、セキュリティリテラシーを高めて、サイバー攻撃から情報を守る意識を持つことが重要です。

ソーシャルエンジニアリングは、情報を扱う人間の心理につけ込んだサイバー攻撃です。攻撃側は、どのようにして「人間の心理の隙」を突くのでしょうか。

以下では、ソーシャルエンジニアリングの特徴を解説していきます。

ソーシャルエンジニアリングの攻撃者は、攻撃対象が信頼を置きそうな相手になりすます傾向にあります。取引先やシステム業者、公共機関の担当者などを装って、正当な理由をつけて攻撃対象へアプローチしてきます。

「知っている企業からの連絡だから大丈夫」「公共機関の担当者だから安心できる」などと信頼性のある相手だと、警戒心が薄れてしまいます。そういった人間の心理的な隙を突いて、攻撃側は個人情報や組織の機密情報を聞き出そうとします。

ソーシャルエンジニアリングでは、攻撃対象の感情を操作し攻撃側が求める回答をさせるように仕掛けます。人間は感情的になると合理的な判断が出来なくなるので、攻撃側はそういった心の脆弱性につけ込み、攻撃対象の重要な情報を窃取します。

具体的には、緊急性の高い連絡を装ったり、恐怖感を煽るような内容の連絡をしてきます。「急いで対応してほしい」「〇〇までに対応しないと罰金が発生する」などは、ソーシャルエンジニアリングでよく使われる文言の例です。

親族を名乗る「オレオレ詐欺」も、ソーシャルエンジニアリングの一種と言えるでしょう。

ソーシャルエンジニアリングでは、説得力のある理由をつけることで、攻撃対象に不審に思われずに重要な情報を窃取しようとします。システムベンダーや金融機関、公共機関の担当者を装うケースもあります。

「御社のシステムに重大なエラーが発生しましたので、管理者情報を教えてください」など、巧みな理由づけで攻撃対象を信じ込ませて情報を聞き出そうとする手法は、ソーシャルエンジニアリングの常套手段です。

ソーシャルエンジニアリングの特徴について説明してきました。人間の心理を突いてくるサイバー攻撃は、具体的にどのような手口で攻撃対象を攻撃するのでしょうか。

ここでは、ソーシャルエンジニアリングの具体的な手口について解説していきます。

クイド・プロ・クオ（quid pro quo）は、ソーシャルエンジニアリングの手口の一つです。語源はラテン語で、日本語に訳すと「代用品」「代替」「見返り」を意味します。

攻撃者は、攻撃対象に対して有益なサービスを提供し、その見返りとして重要な情報を要求してきます。例えば、攻撃者はITサポートの担当者を装い攻撃対象者のネットワークエラーを解消したり、システム不具合の修正パッチを適応するなど一定の利益を提供しながら攻撃対象者のログイン情報を聞き出そうとします。

聞き出したログイン情報は攻撃対象のデータベースのログインに使用するか、悪意ある業者へ販売されていきます。

構内侵入は、ソーシャルエンジニアリングの手口の一つです。攻撃対象のオフィスへ実際に侵入し、オフィス内のデバイスから基幹システムにアクセスしたり、機密情報のある保管室へ侵入したりします。

アナログな手法ですが、一度オフィス内へ侵入されれば構内は自由に行き来ができるので注意が必要です。監視カメラの設置や、エントランスに警備システムか警備会社の人間を配置するのが対策として効果的です。

ショルダーハッキングとは、攻撃対象のデバイスを覗き込み、パスワードや個人情報を盗み見る行為です。オフィス内など周りに信頼できる人が多い環境でも、パスワードなどのログイン情報を自身のデバイスへ入力する際は注意が必要です。

お手洗いなどで離席する際は、スリープモードにし必ずデバイスにロックをかけましょう。少し離席している最中もデバイスをそのままにしていると、表示されている画面を見られてしまい、重要機密が漏洩する危険性があります。

スケアウェアとは自身のデバイスがマルウェアに感染したと偽り、攻撃対象者の不安を煽り金銭を要求したり、個人情報の入力を促したりするサイバー攻撃です。スマホやパソコンでブラウジングしている最中に突然「ウイルスに感染しました」などのポップアップが表示されることがありますが、スケアウェアの可能性が非常に高いです。

被害者は急な警告に驚き、慌ててポップアップの指示通りに操作をしてしまいます。身に覚えのない警告には冷静に対処し、無闇にクリックをしないように心がける必要があります。

スピアフィッシングとは、攻撃対象を特別な情報へのアクセス権を持っている特定の人物や企業に絞り、組織の機密情報や個人情報などの重要データを盗むフィッシング攻撃の一種です。槍を意味するスピア（spear）は、射ぬくように特定のターゲットを狙い撃ちするイメージに由来しています。

攻撃側はFacebook、Linkedin、X（旧Twitter）などSNSなどのソーシャルメディアや企業の公式サイトなどで攻撃対象を調査し、攻撃対象に信頼してもらえるようなメッセージを送信します。被害者は自身の近況をよく知る人物からのメッセージだと誤認し、重要な情報を渡してしまいます。

スミッシング（Smishing）とは、SMSを利用して行われるフィッシング攻撃です。攻撃側は公式や信用のある送信元を装い、攻撃対象へアプローチしてきます。例えば、配達業者を装い「荷物を持ち帰りました」などのショートメールを送信するケースが考えられます。

送信されたショートメールには不正なURLが記載されていて、クリックするとマルウェアのダウンロードが開始されたり悪意のあるサイトへ転送され、クレジットカード番号や個人情報を入力するよう促されます。

ソーシャルエンジニアリングにおける釣り餌とは、攻撃者によってマルウェアが仕込まれたUSBメモリなどを不特定多数の人物がいる空間に放置し、誰かが拾ってデバイスへ差し込んでくれるのを待つ悪意ある行為です。

デバイスへ差し込まれた時点で、マルウェアに感染します。不審なUSBメモリなどの外部ストレージに触れないことは当然ですが、物理ストレージではなくクラウドストレージを普段から利用するなど対策をしましょう。

テールゲーティング（Tail Gating）とは、オフィスなどへの入館を許可されていない攻撃者が許可されている人の後ろについて行き、特定エリアへ侵入する悪意ある行為です。テールゲーティングは、入館ゲートなどの物理的なセキュリティの脆弱性を突いて行われます。

特に、企業の重要機密や資産データが保管されているような部屋や施設へ侵入された場合は、甚大な被害を企業へ及ぼします。警備員やカメラの配置、物理的なアクセス制限を厳密化するなどの対策が必要です。

ソーシャルエンジニアリングの手口の中には、なりすまし電話で攻撃者が接近してくるケースもあります。攻撃対象のユーザー名やアカウント名を入手して、パスワード管理者へログイン情報を聞き出します。

古くから利用される手口で、具体的な対策はありません。不審な電話や身に覚えのない問い合わせを警戒する意識を持ち、必要に応じて応対しないことが大事です。

トラッシングとは、オフィス内などのゴミ箱に捨てられた紙の資料やCD-ROMなど記憶媒体から、攻撃対象の重要機密を窃取したり、ネットワークサーバーへのログイン情報を探し出す悪意ある行為です。

従業員の捨てたメモ用紙や付箋などにIPアドレスやサーバー設定情報などが書かれていた場合、攻撃者はサーバーへのアクセスが可能となってしまいます。その他には、社内外の名刺を盗まれてしまうと、名刺の人物になりすまし、別の攻撃対象へ攻撃を仕掛けるケースも考えられます。

ハンティング（Hunting）とは、その名の通り「狩り」を語源にしていて、要するに攻撃者が積極的に攻撃対象を狩りにいくソーシャルエンジニアリング全てを指します。特定の手口を指しているわけではありません。

主に古くから存在するアナログな手法を指し、企業や組織、個人の重要情報を不正に窃取する行為の総称です。

バイティングとは、有益なソフトウェアやアプリケーションと偽り、サイト訪問者にダウンロードさせるソーシャルエンジニアリングです。ドライブバイダウンロードとも呼称されます。

トロイの木馬などマルウェアの主な感染経路としても有名です。

ビッシング （Vishing） とは、フィッシング攻撃の一種で、ボイスフィッシング （Voice Phishing） の略称です。攻撃者は攻撃対象に向けてSMSやメールで特定の電話番号を通知し、その番号に電話するように仕向けます。

あらかじめ用意された自動音声に誘導され、攻撃対象は個人情報などの重要な情報を漏洩させてしまいます。登録されていない電話番号には出ないなど、注意が必要です。

ファーミング（Farming）とは、DNS（Domain Name System）の設定を改ざんして、不正なサイトへ強制的にジャンプさせる手口です。攻撃者が作成した偽のサイトは、一見、正規のサイトと見間違えてしまいます。サイト訪問者は悪意あるサイトとは気づかず、個人情報などを入力してしまいます。

DNS設定の改ざん（種まき）を事前にするところから、農場での種まきをイメージできるので、ファーミング（Farming）と名付けられました。

フィッシング（Phishing）とは、本物の配達業者や正規の企業からのメールを装い、個人情報を詐取する手口の一つです。届いたメールにはURLが記載されていますが、攻撃者が作成した悪意あるWebサイトですのでクリックやタップしてはいけません。

誘導された不正なサイトは一見では正規のサイトとは見分けがつかず、攻撃対象はログイン情報を入力してしまいます。前述したスミッシングやビッシングは、フィッシングの一種です。

プリテキスティング（Pretexting）とは、攻撃側が攻撃対象の興味関心を引くような話をでっち上げ、機密情報や金銭の授受を誘う悪意ある行為を指します。プリテキスト（Pretext）とは、事実と違った偽りの口実や話を意味します。

攻撃対象へのアプローチの方法は、電話やメール、対面など様々あります。当たり前の話ですが、いくら信頼がおけそうな人物であっても、無闇にログイン情報などを口外することは避けるべきです。

ベイティングとは、攻撃対象に対して金銭や価値ある物品で誘惑して個人情報を聞き出したり、マルウェアをダウンロードさせる手口です。ナイジェリア詐欺は、よく知られたベイティングの例です。

ベイティングは、メールやSMSなど電子上で行われるだけでなく、物理的にも攻撃者はアプローチしてきます。例えば、前述した釣り餌のように、USBメモリやSSDなどを不特定多数の人が往来する場所に放置し、拾って喜んでいる人が自身のデバイスに差してしまうケースが考えられます。

マルウェアに感染している不正な外部ストレージは、挿入されたデバイスから重要な情報を窃取します。

マルウェアの感染は、あらゆるサイバー攻撃において用いられる手口です。ソーシャルエンジニアリングにおいては、攻撃対象の心理的な隙をついて不正にデバイスにマルウェアをインストールさせます。マルウェアを攻撃対象に気付かれず、もしくは承認を得ず侵入させることを「スパイウェア」とも言います。

マルウェアには、攻撃対象が気付かないようにバックグラウンドで稼働するものもあり、危険性が高いです。重要な個人情報やログイン情報、デバイスやサーバーのIPアドレスなどをマルウェアの開発元へ送信するケースもあります。

水飲み場型攻撃（Watering Hole Attack）とは、不特定多数ではなく、特定の企業や組織の従業員に攻撃対象を絞り、対象が頻繁に利用するWebサイトに罠を貼るサイバー攻撃です。

水飲み場にやってきた捕食対象を狙う、肉食動物の狩りをイメージして、水飲み場型攻撃と名付けられました。Webサイトの改ざん悪意あるコードの差し込みなどにより、攻撃対象へマルウェアを感染させます。

メールハッキングとは、不正にメールアカウントへアクセスし機密情報を盗んだり、なりすまし行為に使ったりする手口です。攻撃側のハッキング行為により、メールの認証情報が盗まれることで攻撃対象は被害を受けます。

不審なIPアドレスからのアクセスを警告するセキュリティソフトを事前にインストールしておくなど、対策が必要です。また万が一ハッキングされ盗み見られてもいいように、平常時から重要機密情報の送受信はメールでは行わず、暗号化して非公開のサーバー上で行いましょう。

リバースソーシャルエンジニアリングとは、攻撃対象から攻撃者へ連絡をさせる手口です。ソーシャルエンジニアリングは攻撃者から攻撃対象へアプローチをしますが、その逆です。

具体的に言うと、知り合いになりすました攻撃者が攻撃対象へ「電話番号が変わりました」などと一報を入れ、偽の連絡先へ連絡することを促すケースが考えられます。少しでも不審に思った場合は連絡をせず、社内のセキュリティ部門へ確認するなどの対応が必要です。

ソーシャルエンジニアリングにおいて、SNSを悪用するケースもあります。SNSを利用する場合は時間をかけて攻撃対象と関係性を構築し、警戒心を解いていきます。

攻撃側はSNSを活用して、攻撃対象の情報を収集しているケースが近年増大しています。攻撃対象の趣味嗜好や考え方を把握し、巧みに近寄ってきます。中には、SNSで不在のタイミングを知り直接空き巣に入るパターンもあります。

ソーシャルエンジニアリングには、様々な手口があります。多くの場合は、それらの手口を組み合わせて対象へ攻撃を仕掛けます。

具体的には、どんな被害事例があるのでしょうか。ここでは、実際に起きた事例を紹介します。

2018年1月、大手仮想通貨交換所「Coincheck」で580億円相当の仮想通貨が流出した事件がありました。仮想通貨「NEM」が狙われたこの事件の原因は、ソーシャルエンジニアリングと言われています。

ニュースの報道によると、Coincheckへの攻撃は事件発生の半年前から始まっていました。攻撃者は、SNSを通じて同社社員へ偽名を使って接触していきました。半年かけてじっくり信用を得てから、マルウェアを仕込んだメールを送信します。

被害者は、まさか信用し切っていた相手から不正なメッセージが送信されるとは思わず、悪意あるメールを開いてしまい、マルウェアに感染してしまいました。

参考：暗号資産NEMの不正送金に関する質問

2018年4月、新潟県の某県立病院に医師を名乗る人物から電話があり、事務職員が同病院の研修医の氏名と携帯番号を口頭で回答する事件がありました。電話の終了後、不審に思った事務職員の上司が確認したところ、虚偽の連絡であったことが判明しました。

漏洩した個人情報は、同病院に勤務していた研修医52名分の氏名と携帯番号です。

2017年12月、日本航空（JAL）で被害総額3億8000万に及ぶビジネスメール詐欺事件がありました。攻撃者はJALが普段からやり取りをしているリース会社を装い、JALから高額なリース料を騙し取りました。

支払い先のリース会社の担当者を名乗り、メールアドレスも担当者のものであったそうです。正規の請求書の訂正版として偽の請求書を送付し、攻撃者の振込先へ変更する旨を指示しました。

2015年5月、日本年金機構で不正アクセスによる情報漏洩の事件がありました。日本年金機構の従業員5名が外部からのメールの添付ファイルを開封するなどして、同組織内の端末31台がマルウェアに感染しました。

漏洩したお客様情報は、約125万件です。流出した個人情報の中には、基礎年金番号、氏名、生年月日などが含まれていました。

参考：不正アクセスによる情報流出事案に関する調査結果報告について

人間の心理的な隙をついてくるソーシャルエンジニアリング攻撃の手口は日々複雑化し、進化をし続けています。セキュリティ対策について常に意識を高く保つことが求められます。

ここでは、ソーシャルエンジニアリングの具体的な対策を紹介していきます。

攻撃者は攻撃対象のよく知る人物を装い、近寄ってきます。万が一、よく知る相手であったり信頼のおける人物であっても、個人情報や社内の機密情報などの質問を受けた場合は、その場で回答することは避けましょう。

企業内で事前に外部との情報のやり取りに関する規定を策定することで、ソーシャルエンジニアリング攻撃の被害を回避できる可能性が高まります。情報の回答は社内の複数人で確認の後に実施する、所定のフォーマットを利用するなどルール化が大事です。

企業の従業員に社員証の携帯を義務付けることも、ソーシャルエンジニアリング攻撃の対策として有効です。社員証を常時携帯させておけば、外部の人物との区別がつきやすくなります。

外部の人物、社内の従業員、正社員、パートなどで色分けしておくことも一目で見分けがつくので効果的です。

社内の機密情報や個人情報が載っている書類は必ず、シュレッダー処理をしましょう。ゴミ箱にそのまま捨てると、「トラッシング」の対象となってしまい甚大な被害に及ぶ可能性があります。

またシュレッダーに掛けるだけでは、裁断後の紙屑から復元される危険もあります。マイクロカット式のシュレッダーを利用するか、重要書類の溶解処理を委託することも検討しましょう。

お手洗いのような短い時間であっても離席する際は、必ず自身の使用しているハードウェアをロックしましょう。何もせず離席してしまうと「ショルダーハッキング」の対象にされてしまいます。

使用しているデバイスがスマホやタブレットであれば、ロックをかけることはもちろん、肌身離さず持ち運ぶことも重要です。

重要情報は、電子機器のようなデバイス上のみで盗み見されるわけではありません。勤務中のデスク上に重要書類を置いていたり、会議後のホワイトボード上に記載されていたり、ログイン情報の書かれた付箋を貼っていたり、ショルダーハッキングの対象は多様です。

外部の人間のみでなく、内部不正の可能性もあるので重要な情報の管理には十分に注意する必要があります。

基本的なことではありますが、従業員へのサイバーセキュリティ教育も、ソーシャルエンジニアリング攻撃の対策として効果的です。ソーシャルエンジニアリングの具体的な手口や対策を伝えるだけでも、攻撃を受けた際に自身で検知する能力が向上します。

従業員一人一人のセキュリティ意識の向上が、企業や組織全体のサイバーセキュリティレベルの向上へつながります。

こちらも基本的なことではありますが、セキュリティソフトの導入もソーシャルエンジニアリング攻撃の対策に有効です。セキュリティソフトの中には、不審なソフトウェアのインストールを抑止する機能を備えているものもあります。

また不正なURLへ誘導されたとしても、不審なURLを検知しアクセスを遮断してくれるセキュリティソフトもあります。必要な機能を備えたセキュリティソフトを導入すれば、サイバー攻撃に対する安全性は高まります。

オフィスなどへの入退出管理の徹底も、ソーシャルエンジニアリング攻撃の対策として必要です。テールゲーティングのように、物理的に侵入してくる攻撃者もいます。

入退出ゲートの前に警備員や監視カメラを配置するなど、不審者が入り込まないように警戒しましょう。

不審なメールやファイルを開かないことは、サイバー攻撃対策として基本です。ソーシャルエンジニアリング攻撃においても同様で、例え信頼のおける人物からのメールやデータであっても、少しでも不審に思えば開かないことが大事です。

少し面倒に感じるかもしれませんが、不審に思ったメールやファイルは送信元をチェックしたり、電話で確認しましょう。

昨今では、業務上でLINEなどのSNSを活用するケースも増えています。SNS利用の規定を事前に策定しておくことが重要です。X（旧Twitter）では、企業内の重要機密を投稿してしまい炎上する事案もよく見られます。

取引先の名前や、社内外の重要機密に繋がりそうな情報の投稿はしてはいけません。ソーシャルエンジニアリングの攻撃者は、SNSで攻撃対象の情報を調査しています。

本記事では、ソーシャルエンジニアリングの特徴や手口、実際に起きた被害事例などについて解説してきました。ソーシャルエンジニアリングは、セキュリティソフトや対策ツールだけでは防ぎきれないサイバー攻撃です。

被害者は、信頼し切っている相手から攻撃を仕掛けられるとは思いません。またゴミ箱のような思わぬところから情報が漏洩する危険もあるので、情報を扱う人物各々がセキュリティ意識を高く持つことが肝心です。

紹介したソーシャルエンジニアリングへの対策を実践して、ソーシャルエンジニアリングによる被害を回避してくださいね。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。

>>無料でのお問い合わせはこちら