ソーシャルエンジニアリング攻撃とは？その手口と対策を解説

ソーシャルエンジニアリングとは

ソーシャルエンジニアリング攻撃とは、人の心のスキを狙ったサイバー攻撃です。DoS攻撃（サービス拒否攻撃）やマルウェアなどのウイルスを仕込む手法とは少し異なり、ネットワークに入る際に必要となるIDやパスワードなどの重要な情報を、知人を装って詐取するなど、人に対する攻撃手法を取られることが特徴です。

ソーシャルエンジニアリング攻撃は、その手法がより巧妙化していることから防止することが難しく、従業員のセキュリティ意識を高めたり、組織的に対策を講じる必要があります。

また、サイバー攻撃の中でも有名な標的型攻撃の場合と比較すると、発生する頻度はそう高くはありません。しかし、ソーシャルエンジニアリングの場合は、被害にどのタイミングで遭ったのかを特定しづらいという特徴があります。まるで高度な詐欺師からの攻撃と言ってもよいでしょう。

ソーシャルエンジニアリング攻撃の手口

ソーシャルエンジニアリング攻撃の手口は、さまざまな種類があります。実際にどのような手口が使われているのでしょうか。代表的なパターンを６つご紹介します。

電話でパスワードを聞き出す

電話越しにターゲットの情報を聞き出す手法は、ソーシャルエンジニアリングの代表的な手口の一つと言えます。

何らかの方法で、そのターゲットとなるサービス等のユーザー名を入手したら、その利用者のフリをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。
また、反対に管理者になりすまして、直接的に利用者にパスワードを確認するといったケースもあります。

もし、知らない電話番号や人物から、電話でIDやパスワードを聞き出されるといったことが起きた場合は、ソーシャルエンジニアリングが行われている可能性があるので警戒しておきましょう。

覗き見（ショルダーハッキング）

覗き見（ショルダーハッキング）とは、言葉のとおり肩越しに覗く動作から名づけられた、ソーシャルエンジニアリング攻撃の手口の一つです。ショルダーサーフィンとも呼ばれています。

たとえば、オフィス内でクレジットカードの番号やパスワードといった重要な情報をPCのキーボードで入力している際に、その動きやディスプレイに映る情報を、悪意のある第三者が覗き見をして情報を収集し、貴重な情報を盗もうとします。社内のほか、カフェやコワーキングスペースといった公共の場所で窃取するケースも発生しています。

ゴミ箱を漁る（トラッシング）

トラッシングは、不正アクセスの対象としてターゲットとなるネットワークに侵入する際に用いられる手口です。

資料やUSBなどの重要な情報がゴミ箱に捨てられていた場合に、そこから情報を収集するためにゴミ箱を漁り、サーバやルータなどの設定情報をはじめ、IPアドレス情報やID・パスワードといった情報を探し出し、不正に入手するソーシャルエンジニアリング攻撃の手口の一つとなります。

スケアウェア

ユーザーがwebサイトへアクセスしたことで、まるでウイルス感染したかのようにユーザーを動揺させる手法がスケアウェアです。

知らないWebサイトへ訪問すると「Windowsシステムが破損しています」「ウィルス感染しています」などと画面に表示され、ヒヤッとした経験がある方もいらっしゃのではないでしょうか。これがまさにスケアウェアという悪意のある手法です。

偽警告のポップアップを表示させ、ウイルス感染したと見せかるのですが、じつはスケアウェア自体がセキュリティ上の脅威であり、ユーザーのPC内に不正侵入し、個人情報を盗むといった被害に巻き込まれるケースも発生しています。

フィッシング

フィッシングは、ユーザーを偽のログイン画面に誘導し、個人情報を盗み取る手口です。

フィッシングの事例として有名なのは、金融期間から届いたメールなど勘違いさせて、ユーザーの顧客情報を確認するように要求したあと、偽のwebサイトへ誘導し、ログイン認証情報を盗み取る手法です。

また、関連する手口であるスピアフィッシングは、社内の1人をターゲットとして、会社の管理職から届いたメールだと装うことで機密情報を引き出す手法もあります。

なりすまし（プリテキスティング）

なりすまし（プリテキスティング）は、悪意のある第三者がセキュリティ業者として装い、狙ったユーザーに「ハッキングされた跡がありますよ」と嘘を伝えることで、不正にソフトウェアのバージョンやOSなどを聞き出す行為です。

なりすまし（プリテキスティング）は、騙されやすく人の心理を利用した手法であるため、防止することが難しく、ケースに応じてマニュアルを作成する必要があります。

ソーシャルエンジニアリング攻撃から情報を守る５つの対策！

つづいては、ソーシャルエンジニアリング攻撃から身を守るための対策をご紹介します。以下の５つの対策は、社内でもすぐに始められるものも多いため、ぜひ参考にしてみてください。

• PCロックの徹底
• 情報文書はデスク上に置かず、施錠を行う
• 機密情報のシュレッダー処理
• 入退室管理の徹底
• 不審なドメインのメールや、不審なファイルを開かない

PCロックの徹底

「離席時のPCロックの徹底」は、ソーシャルエンジニアリング攻撃を防ぐために今すぐにでも始められる対策です。
とくに覗き見（ショルダーハッキング）は、PCでの作業中以外に離席時でもそのリスクは高まります。

たとえば、お手洗いに行くために、少しだけ席を離れるといった場合、うっかりPC画面を開いたままになっていることも少なくないでしょう。
しかし、ディスプレイには重要情報や内部情報が表示された状態になっていることも多く、ショルダーハッキングの恰好の的となってしまいます。

そのため、短時間で離席する場合でも、必ずPCの画面ロックの設定を行うようにしましょう。

情報文書はデスク上に置かず、施錠を行う

オフィスのデスク上に、書類やファイルを置いたままにしておくことも危険です。とくに機密情報が記載された文書や、社外秘の情報が記載された用紙などをそのまま置いてしまっては、書類の紛失や盗み見される危険性が高まります。

そのため、書類を扱う場合は、デスク上に置いたままにせず、引き出しに入れて施錠することを徹底することで、ソーシャルエンジニアリングの攻撃から身を守ることができます。

機密情報のシュレッダー処理

機密情報や社外秘の情報が記載された用紙を破棄する場合は、必ずシュレッダーで細かく裁断し、所定のゴミ箱に捨てるようにしましょう。なお、シュレッダーで裁断する場合は、クロスカットよりも、さらに細かくカットできるマイクロカットがおススメです。

これまでの事例として、旧式のストレートカットで裁断した際に紙片を集めて復元されたケースもあります。機密情報が記載された紙片ゴミが盗難されてしまっては、漏えいのリスクと企業にとって計り知れない損害を負うことになります。

そのため、旧式のストレートカットのシュレッダーを使用する場合は、ゴミの保管や運搬にも細心の注意を払うようにしましょう。

入退室管理の徹底

社外の人がオフィスに出入りする際は、入退室の記録を取るなど管理を徹底することも、ソーシャルエンジニアリングの攻撃防止する対策の一つです。

たとえば、オフィスの玄関に入退室記録を設置し、社外の人が出入りする際は、受付で会社名や氏名、連絡先を記載してもらい入退出記録に残るようにするといいでしょう。さらに高度な入退室管理を行いたい場合は、オフィスの玄関にセキュリティゲートを設置するのもおススメの対策です。

不審なドメインのメールや、不審なファイルを開かない

インターネット上の不審なwebサイトや宛先不明のメールに添付されたファイルなどは、とにかく開封しない・触らないようにしましょう。
とくに、銀行や金融機関などの信頼性の高い情報元になりすまし、URL変更や口座番号の変更といった内容でwebサイトへ誘導するメールなども被害に遭いやすいソーシャルエンジニアリングの手法です。少しでも違和感を感じたら、社内のIT管理部や情報システム部などの専門部に報告や相談をすることで、社内全体に注意喚起を促すことができ、ソーシャルエンジニアリング攻撃を回避することができます。

まとめ

今回は、ソーシャルエンジニアリング攻撃の概要や手口の種類、対策などについて解説してきました。
社内だから安心だと油断していると、いつの間にかソーシャルエンジニアリングの被害者になってしまうかもしれません。情報漏えいのリスクと隣り合わせであることを常に意識した上で、今回ご紹介した対策を講じてみてはいかがでしょうか。