ソーシャルエンジニアリングとは?手口や被害事例、効果的な対策方法を解説
ソーシャルエンジニアリングとは、人間の心理的な隙や信頼関係を悪用して機密情報を盗み取る攻撃手法のことです。
フィッシングやなりすまし電話、ショルダーハッキングなど、技術的な脆弱性ではなく人的要因を標的とするため、従来のセキュリティ対策では完全に防ぐことが困難です。
しかし、デバイス管理の徹底や多要素認証の導入により、攻撃を受けた際の被害リスクを低減できます。
この記事では、ソーシャルエンジニアリング攻撃の主な手口、被害リスク、実際の被害事例、効果的な対策方法について解説します。
目次
[ 開く ]
[ 閉じる ]
- ソーシャルエンジニアリングとは
- ソーシャルエンジニアリング攻撃の主な手口
- ショルダーハッキング
- フィッシング
- スミッシング
- ベイティング
- ホエーリング
- トラッシング
- プリテキスティング
- CEO(エグゼクティブ)詐欺
- ソーシャルエンジニアリング攻撃の被害リスク
- 機密情報が盗まれる
- 個人情報が漏洩する
- 金銭的な被害に遭う
- アカウントの乗っ取り
- ソーシャルエンジニアリング攻撃の被害事例
- 年金機構で125万件の基礎年金番号と氏名が流出
- 暗号資産事業者で482億円相当のビットコインが流出
- 病院でなりすまし電話により52件の個人情報が漏洩
- ソーシャルエンジニアリング攻撃の対策方法
- セキュリティポリシーを策定する
- デバイスの管理を徹底する
- 従業員を教育する
- 多要素認証を導入する
- セキュリティ対策ソフトを導入する
- まとめ
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、人間の心理的な隙や信頼関係を悪用して機密情報を盗み取る攻撃手法のことです。
技術的な脆弱性ではなく人的要因を標的とするため、最新のセキュリティ技術でも完全に防ぐことは困難となっています。
攻撃者は権威への服従心理や好奇心、恐怖心などの感情を巧みに操り、正常な判断力を奪います。なりすましや詐欺的な手法により、パスワードや個人情報、企業の機密データなどを自発的に提供させるのが特徴です。
企業や組織にとって、技術的対策と人的対策の両面からアプローチする包括的なセキュリティ戦略が不可欠となっています。
ソーシャルエンジニアリング攻撃の主な手口
攻撃者は心理操作や物理的手段を組み合わせ、さまざまな手口で情報を窃取します。以下、代表的なソーシャルエンジニアリング攻撃の手法について解説します。
ショルダーハッキング
ショルダーハッキングは、他人のパスワード入力やキーボード操作を背後から盗み見る、最も原始的ながら効果的な攻撃手法です。
カフェや空港ラウンジなどの公共スペースで、無防備にパソコンを操作する人が主な標的となります。ATMでの暗証番号入力時や、スマートフォンのロック解除時も狙われやすいタイミングです。
プライバシーフィルターの使用や入力時の周囲確認が、基本的ながら重要な対策となります。
フィッシング
フィッシングは、正規の企業や組織を装った偽メールで個人情報やログイン情報を騙し取る手法です。
金融機関からの緊急連絡や、大手ECサイトのセキュリティ警告を装うケースが典型的です。巧妙に作られた偽サイトへ誘導してIDやパスワード、クレジットカード情報の入力を促します。
最近では見た目がそっくりな文字を使った偽装も増えているため、メール内のリンクは直接クリックせず、公式サイトから直接確認することが大切です。
フィッシング詐欺については以下の記事で詳しく解説しています。
スミッシング
フィッシングがメールを使った手法であるのに対し、スミッシングはSMSやテキストメッセージを利用した手法を指します。携帯電話番号さえあれば実行可能な手法です。
例えば、宅配便の不在通知や税金の督促など、緊急性を演出した短文で即座の行動を促します。
SMSメッセージでは文字数制限があるため、メールのような詳細な説明ができず、URLのみが記載されていることが多い傾向にあります。スミッシングの具体的な手口については以下の記事でご確認ください。
ベイティング
ベイティングは嘘の約束をして個人情報を盗み取ったり、マルウェアをインストールさせたりする手口です。
無料の音楽や映画データなどを餌にして、個人情報を聞き出す手法が一般的です。
また、物理的なフラッシュドライブを活用して、対象者にマルウェアを感染させる手口もあります。不明な記録媒体は絶対に接続せず、IT部門に報告する社内ルールの徹底が必要です。
ホエーリング
ホエーリングは、企業の経営陣や重要人物を標的とした、極めて精巧に計画された高度なフィッシング攻撃です。SNSや企業サイトから収集した個人情報を基に、信憑性の高い偽装メールを作成します。
取引先や顧問弁護士を装い、機密文書の確認や緊急の承認を求めるケースが多い傾向にあります。
ホエーリングの被害を受けないためには、重要な意思決定をする際は複数の確認プロセスを設けることが大切です。
トラッシング
ゴミ箱や廃棄物から機密情報が記載された書類を収集する、アナログながら見過ごされがちな攻撃手法です。シュレッダー処理されていない請求書や社内メモ、名刺などが主な標的となります。
企業の廃棄物置き場は無防備なことが多く、深夜に情報収集される危険性があるため、機密レベルに応じた適切な廃棄方法の確立が求められます。
プリテキスティング
虚偽の身分や状況を装って相手の信頼を得て、情報を聞き出す詐欺的な心理操作技術です。
IT部門やセキュリティ担当者、法執行機関のメンバーなどになりすまし、権威を利用してパスワードや個人情報を要求します。
相手が関心を持つ人物になりすますパターンもあるため、身元確認の徹底と、正規の手続きを経ない情報提供の拒否が基本的な防御策となります。
CEO(エグゼクティブ)詐欺
CEO(エグゼクティブ)詐欺はその名前の通り、CEOや他の役員になりすまして従業員に情報提供を指示する、組織の階層構造を悪用した攻撃です。
海外出張中のCEOを装い、極秘案件として即座の対応を求めるメールが典型例です。権威への服従心理と時間的プレッシャーにより、冷静な判断力を奪うのが狙いです。
緊急時でも承認プロセスを省略せず、複数経路での確認を徹底することが被害防止に繋がります。
ソーシャルエンジニアリング攻撃の被害リスク
人間の心理を突く攻撃は、技術的な対策だけでは防げない深刻なリスクをもたらします。ここでは、ソーシャルエンジニアリング攻撃がもたらす主要な被害について解説します。
機密情報が盗まれる
ソーシャルエンジニアリング攻撃により、企業の競争力の源泉となる技術情報や営業秘密が、競合他社や産業スパイの手に渡るリスクがあります。
研究開発に数年かけた新製品の設計図や、顧客リストなどの営業データが流出すれば、市場優位性は一瞬で失われるでしょう。
また、盗まれたM&A情報や財務データは株価操作に悪用され、企業価値を大きく毀損することもあります。情報管理体制の不備は取引先からの信頼も失うため効果的な対策が必要です。
個人情報が漏洩する
氏名や住所などの基本情報から、マイナンバーや銀行口座情報まで幅広い個人データが流出する危険性があります。
被害者への補償や信用回復には莫大なコストがかかり、集団訴訟に発展するケースも少なくありません。行政処分や罰金も科され、企業の存続自体が危ぶまれる事態となる可能性もあります。
従業員の個人情報が漏洩した場合は労使問題にも発展し、組織の崩壊を招く恐れもあるため、個人情報漏洩の危険性を十分に理解した上で対策を立てることが大切です。
情報漏洩が起こる原因や対策方法については以下の記事で解説しています。
金銭的な被害に遭う
銀行口座やクレジットカード情報の盗用により、直接的な金銭被害が発生します。不正送金や架空請求によって数千万円から数億円規模の損失を被る企業も珍しくありません。
被害の発覚が遅れれば金銭の回収は困難となり、キャッシュフローの悪化で経営危機に陥るケースもあるでしょう。
株価下落による企業価値の毀損も含めると、被害総額は想像を超える規模となります。
アカウントの乗っ取り
SNSやメールアカウントが不正利用され、本人になりすました詐欺や誹謗中傷が行われます。
乗っ取られたアカウントから偽情報が拡散されれば、フォロワーや取引先との信頼関係が崩壊するだけでなく、企業としてのブランドイメージが一瞬で失墜します。
さらに乗っ取られたアカウントを起点として、関係者への攻撃が連鎖的に広がる二次被害も深刻です。SNSアカウントの乗っ取りについては以下の記事をご確認ください。
ソーシャルエンジニアリング攻撃の被害事例
実際に発生した被害事例を知ることで、攻撃の深刻さと対策の重要性が理解できます。以下、日本国内で発生した代表的な3つの事例を紹介します。
年金機構で125万件の基礎年金番号と氏名が流出
2015年6月、日本年金機構は標的型メール攻撃により、125万件もの年金情報が流出したと発表しました。
この事件では、「厚生年金基金制度の見直しについて(試案)に関する意見」という業務に関連した件名の偽装メールが発端となったのです。
福岡県の職員がメールを開封したことでウイルスに感染し、ネットワーク経由で被害が拡大しました。流出したのは基礎年金番号、氏名、生年月日、住所などの個人情報です。
内閣サイバーセキュリティセンターが不審な通信を検知しましたが、既に大量のデータが外部に送信された後でした。
暗号資産事業者で482億円相当のビットコインが流出
2024年5月、DMM Bitcoinから482億円相当のビットコインが不正流出する事件が発生しました。
北朝鮮のサイバー攻撃グループ「TraderTraitor」が、ビジネス向けSNS「LinkedIn」でリクルーターになりすまして従業員に接触したのです。
ウォレット管理会社Gincoの従業員に採用試験を装った悪意あるPythonスクリプトを送付し、システムへの侵入に成功しました。
攻撃者は通信システムへのアクセス権を獲得した後、正規取引のリクエストを改ざんして不正送金を実行しています。この事件は高度なソーシャルエンジニアリング攻撃として、業界に大きな衝撃を与えました。
病院でなりすまし電話により52件の個人情報が漏洩
2018年4月、新潟県立坂町病院で医師を装った電話により、研修医52名分の個人情報が漏洩しました。
攻撃者は医師を名乗り、事務職員に「研修医の氏名と携帯電話番号を教えてほしい」と要請しました。事務職員は疑うことなく情報を提供しましたが、後に上司が不審に思い確認したところ、虚偽の問い合わせと判明したのです。
電話という従来型の手段でも、権威を装えば簡単に情報を入手できることを示す事例となりました。
ソーシャルエンジニアリング攻撃の対策方法
技術と人の両面からアプローチする多層防御が、ソーシャルエンジニアリング攻撃の効果的な対策となります。以下、組織として実施すべき対策方法について解説します。
セキュリティポリシーを策定する
ソーシャルエンジニアリング攻撃を防ぐには、情報の取り扱いルールや緊急時の対応手順を明文化し、組織全体で共有することが大切です。
機密レベルに応じた情報分類と、それぞれの取り扱い方法を具体的に定義する必要があります。
▼セキュリティポリシー策定の一例
- 外部からの問い合わせへの対応方法
- 本人確認の詳細な手順
- インシデント発生時の報告経路と対応体制
- 違反時の処分規定
ポリシーは形骸化を防ぐため定期的に見直し、最新の脅威動向を反映させる必要があります。
デバイスの管理を徹底する
業務用端末への不正アクセスを防ぐため、物理的・論理的なセキュリティ対策の強化が不可欠です。
例えば、離席時の画面ロックや一定時間での自動ログアウト設定、USBポートの無効化、デバイス接続制限などが挙げられます。
これらの対策により、のぞき見リスクを低減できるほか、マルウェア感染の経路を遮断することが可能です。モバイル端末には遠隔消去機能を実装し、紛失・盗難時の情報漏洩を防ぐ対策も有効です。
従業員を教育する
最新の攻撃手法や実際の被害事例を共有し、従業員1人ひとりのセキュリティ意識を高めることも重要です。
フィッシングメールの見分け方や不審な電話への対処法を実践的に教育することで、実際の攻撃に遭遇した際の適切な判断力が身につきます。
新入社員や異動者には特に手厚い教育を実施し、組織の弱点とならないよう配慮することが求められます。
多要素認証を導入する
パスワード単独の認証から、生体認証やワンタイムパスワードを組み合わせた強固な認証方式へ移行する対策方法です。指紋や顔認証などの生体情報は複製が困難で、なりすましのリスクを低減できます。
▼多要素認証の3つの要素
- 知識情報
- 所持情報
- 生体情報
秘密の質問やハードウェアトークン、ワンタイムパスワードなどから、システムに合った認証方法を選択することが重要です。
サイバー攻撃を効果的に防ぎたい企業なら、積極的に取り組むべき対策といえるでしょう。多要素認証の詳細については以下の記事で解説しています。
セキュリティ対策ソフトを導入する
フィッシングサイトやマルウェアを自動検知し、ユーザーを保護する技術的対策の実装が欠かせません。最新の脅威情報を反映したリアルタイム保護により、ゼロデイ攻撃にも対応できます。
EDR(Endpoint Detection and Response)ソリューションの導入では、侵入後の被害拡大も阻止できるため、マルウェア対策として効果的に機能します。
セキュリティ対策ソフトを導入する際は、ベンダーのセキュリティ状況を確認するのはもちろん、導入する企業のシステム状況に合ったサービスを選択することが大切です。
EDRの詳細については以下の記事で解説しています。
まとめ
この記事では、ソーシャルエンジニアリングの概要、主な攻撃手口、被害リスク、実際の被害事例、対策方法について解説しました。
フィッシングやスミッシング、CEO詐欺など、攻撃者は人間の心理を巧みに操る多様な手法を用いて機密情報や個人情報を窃取します。
ソーシャルエンジニアリング攻撃を効果的に防ぐには、セキュリティポリシーの策定、デバイス管理の徹底、従業員教育などの対策が必要です。
組織の情報資産と信頼を守るため、包括的なソーシャルエンジニアリング対策を実施しましょう。
文責:GMOインターネットグループ株式会社
