ソーシャルエンジニアリングによる攻撃で、さまざまな企業で金銭的な被害や重要情報の漏洩が発生しています。この記事では、ソーシャルエンジニアリングの概要と攻撃の種類、そして対策方法まで詳しく解説します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法のことです。
攻撃者は、人間の心理的な隙や行動のミスに巧妙につけ込み、企業への不正アクセスに必要な情報を収集します。一つの手法ではなく、複数の手法を組み合わせることで、攻撃に気づかれにくいように情報を盗み出すこともあります。
具体的には、社内の同僚の手の動きなどをみてパスワードを記憶することも、身近なソーシャルエンジニアリングと言えます。
昨今話題となった「標的型攻撃」も、ターゲットの情報をできるだけ詳細に集める必要があり、この際に用いられる行為もソーシャルエンジニアリングに含まれます。
ソーシャルエンジニアリングについては、こちらの資料でより詳しく解説しています。対策をお考えの方は是非こちらも併せてご覧ください。
ソーシャルエンジニアリングが広まる背景
ソーシャルエンジニアリングが広まる背景として、成功すれば数億円以上の金銭を得ることも不可能ではないことがあげられます。
現在、インターネット上では個人情報や重要情報を奪うサイバー攻撃の手口にもさまざまなものが登場してきました。過去にも攻撃者は、あの手この手でターゲットの情報を奪い取ろうとしてきています。それらの情報を奪うサイバー攻撃には、技術的に高度なものもありますが、セキュリティ対策ソフトの導入などで防ぐことができるものも少なくありません。
たとえばターゲットをマルウェアに感染させて情報を奪うような手口の多くは、不特定多数に対するサイバー攻撃であり、ターゲットが適切に対策を講じていれば、その多くは防御可能です。
そこで攻撃者は、不特定多数ではなく特定のターゲットに絞って執拗に攻撃を仕掛けることで、より高い確率で金銭を得ようと目論むようになりました。このような攻撃者の思考の変化がソーシャルエンジニアリングというサイバー攻撃を生み出したのです。
複雑化するソーシャルエンジニアリング
ソーシャルエンジニアリングという攻撃手法が広く知られるようになり、それにつれてAIなどを悪用した、ソーシャルエンジニアリングの複雑化が進んでいます。
2019年にイギリスで発生したAIを悪用した振り込め詐欺の被害の例があげられます。犯人はAIを悪用して声を合成、ターゲットに電話をかけ、日本円にしておよそ2,600万円を振り込ませました。
2017年には、カナダのスタートアップ「Lyrebird」が世界初のボイスイミテーション・アルゴリズムという技術を開発しました。これは、話し声を1分記録して分析するだけで、声を模倣できるだけでなく、その人のアクセントやイントネーションまで真似ることもできます。
さらに画像や動画の模倣ができる「ディープフェイク」と呼ばれる技術も登場しました。例えばビデオ会議やビデオメッセージによる詐欺など、新たな形でのネット詐欺が出る可能性があります。
世界中で蔓延しているビジネスメール詐欺による被害も深刻です。ビジネスメール詐欺とは、標的組織の業務メールを盗み見て得た情報をもとに攻撃する手法のことです。
情報処理推進機構が公開している「情報セキュリティ10大脅威 2020」では、組織カテゴリで「ビジネスメール詐欺による金銭被害」が8位にランクインしています。
ビジネスメール詐欺は、まずフィッシング攻撃から始まります。ターゲットのコンピュータにマルウェアに感染させ、メールを不正に閲覧し、情報収集します。情報が集まったら、タイミングを見計らい、取引先、経営者、同僚といった近しい人物や、ときには弁護士などを騙り、銀行口座の振込先変更などの手口を使い、金銭を要求して偽の口座に振り込ませます。
ソーシャルエンジニアリングに用いられる手法
ソーシャルエンジニアリングに用いられる手法には、以下のようなものがあります。
バイティング
バイティングとは、有益なソフトウェアやアプリケーションになりすまして、ユーザーにダウンロードさせる方法です。トロイの木馬の感染経路として知られており、ドライブバイダウンロードとも呼ばれます。
フィッシング
フィッシングとは、攻撃者が仕込んだ偽のログイン画面に対して、ユーザーに入力を促して、IDやパスワードを盗み出す攻撃です。
ショルダーハッキング
ショルダーハッキングとは、第三者がパスワードなどを入力しているときに、後ろからのぞき込む行動のことです。オフィス内であっても、パスワードやクレジットカード番号などの重要情報の入力時に、周辺に人がいるかどうか確認することが望ましいです。
トラッシング
トラッシングとは、ごみ箱に捨てられた紙の資料や記憶媒体などから、サーバーやシステムの設定情報やネットワーク構成図、IPアドレスの一覧や、ユーザー名とパスワードなどのターゲットのネットワークに不正アクセスするための情報を探し出す行為です。
トラッシングから防御するためには、資料を廃棄する際に、シュレッダーにかけたり溶解させたりするのが効果的です。
スケアウェア
スケアウェアとは、コンピュータがマルウェアに感染したかのように装い、そのことを画面に表示させてユーザーを動揺させる攻撃です。
ブラウザを使っているときに「ウィルスに感染しています」や「システムが破損しています」などの偽の警告が、ポップアップで表示されることがありますが、これがスケアウェアです。
プリテキスティング
プリテキスティングとは、最初はターゲットに対してもっともらしい話をしてターゲットに関心をひき、最終的にユーザーをだまして銀行口座などの重要情報を盗み出す手口です。
リバースソーシャルエンジニアリング
リバースソーシャルエンジニアリングとは、ソーシャルエンジニアリングを逆に利用したものです。具体的には、ターゲットから攻撃者にコンタクトを取り、その際に攻撃者がターゲットから情報を盗み出す手法のことです。
ビッシング
ビッシングとは、攻撃者がSMSやメールなどを使い特定の電話番号を通知してユーザーに電話をさせ、攻撃者があらかじめ作成しておいた自動音声応答システムにより、ユーザーから個人情報などを盗み出す手口です。
スミッシング
スミッシングとは、SMSを利用したフィッシング詐欺のことです。SMSに緊急を要する偽のメッセージを送信して、ユーザーに対応を求めます。
ユーザーが受信したSMSには電話番号やWebサイトのURLなどが記載されており、ユーザーに電話をさせたり、Webサイトに訪問させたりして、個人情報や重要情報を入力させて盗みます。
メールハッキング
メールハッキングとは、ターゲットのメールアカウントをハッキングして不正にメールを盗み読むことです。
ファーミング
ファーミングとは、DNSの情報を書き換えることで、正規のURLへのアクセスに対して、偽のURLのWebサイトへ誘導させる攻撃のことです。
ブラウザ上には正規のURLが記載されてしまうため、攻撃の見極めは非常に困難です。
ハンティング
ハンティングとは、ソーシャルエンジニアリングの中でも、コンピュータやネットワークに不正侵入して個人情報や重要情報を盗み出す手法を総称したものです。
釣り餌
釣り餌とは、マルウェアが仕込まれたUSBメモリなどを放置しておき、それを誰かが拾ってパソコンに差し込んだところでマルウェアに感染させる手法のことです。
構内侵入
構内侵入とは、オフィスなどの建物の中に実際に侵入する攻撃のことです。攻撃者は侵入後に、ゴミ箱を探して中からゴミを盗み取ったり、オフィス内のコンピュータを使ってシステムに不正アクセスしたりするなどの行動を取ります。
ソーシャルエンジニアリングの被害事例
ソーシャルエンジニアリングの被害事例について3つご紹介します。
3億8千万円を振り込む金銭被害
2017年にJAL(日本航空)がリバースソーシャルエンジニアリングの被害にあった事例です。クライアントになりすました攻撃者から、リース費用の振込先変更のメールが届き、新しい偽の振込先におよそ3億8000万円を振り込みました。
偽の振込先に振込後に、正規の振込先から支払いの催促が来て発覚しました。
数百億の仮想通貨が流出
仮想通貨の不正流出で話題となったCoincheckが被害にあった事例です。Coincheckが管理していた仮想通貨「NEM」が日本円相当で580億円分流出しました。原因はソーシャルエンジニアリングだったといわれています。
攻撃者はCoincheckの社員と接触して管理者権限を持つ技術者を調査し、その後、時間をかけて関係を築いたところで、ウィルス付きのメールを送付しました。その後、Coincheckの従業員のパソコンにウィルスが感染し、流出という結果につながりました。
研修医の氏名と携帯電話番号が流出
2018年に公立病院で医師を騙った攻撃者によって、研修医52名分の氏名と携帯電話番号が漏洩した事件が発生しました。攻撃者は電話を使い、病院の事務員に対して個人情報を尋ね、対応した事務員は口頭で研修医の情報を伝えました。
電話後に不審に思った上司が電話の内容について確認し、虚偽の問い合わせであったと判明しました。
ソーシャルエンジニアリングへの有効な対策
ソーシャルエンジニアリングへの有効な対策方法について、これからご紹介します。
電話口で機密情報は教えない
不審な人物からの電話口では機密情報を教えないようにしましょう。
特にIDやパスワードに関する情報を口頭で伝達するのは避けましょう。
機密情報はシュレッダー処理
機密情報が印刷されている紙媒体を破棄するときには、必ずシュレッダー処理をしましょう。
そのままの状態でゴミ箱に捨ててしまうと、トラッシングの被害にあう可能性があります。
構内への入退出記録
オフィスなどの構内への入退出記録を残すようにしましょう。
不正行為の犯人が社内の人間であったとしても、入退出記録が残されていれば、特定の手がかりとなります。
バイオメトリクス(生体認証)などの導入
静脈認証や光彩認証などのバイオメトリクス認証の導入も効果的です。
本人の体の一部を使う生体認証は、真正性が極めて高いからです。
監視カメラの設置
サーバールームなど需要な情報を保存している場所への監視カメラの設置も有効です。
出入口への守衛の配置
オフィスの出入口に守衛を配置することで、無関係の人物の侵入を防げます。
社員証の携帯の義務付け
社内にいるときは、その会社の社員であることを証明する社員証の携帯を義務付けましょう。
デスクの引き出しの施錠徹底
従業員のデスクの引き出しへの施錠を徹底することで、中にある書類などの盗難から防げます。
離席時のPCロックの徹底
短時間の離席であってもPCの画面ロックを徹底するようにしましょう。ロック解除のためのパスワードの設定も必要です。
不審な添付ファイルは開かない
メールに添付されている不審なファイルを開かないようにしましょう。
どうしても中身の確認が必要な場合は、必ずセキュリティ対策ソフトでマルウェアスキャンするべきです。
送信者やドメインの確認
メールを受信したときの送信元ドメインや、Webサイトにアクセスしたときのブラウザに表示されているドメインを確認する習慣を持ちましょう。
不正なドメインが表示されている場合、何らかの攻撃を仕掛けられる可能性があるため、メールの破棄や、ブラウザを閉じるなどの対応が必要です。
まとめ
ソーシャルエンジニアリングは、人間の行動や心理の隙をついた巧妙なサイバー攻撃です。被害を未然に防ぐためには、ソーシャルエンジニアリングというサイバー攻撃があることを周知し、適切な行動を取れることが求められます。
そのためには社内教育などを実施し、模擬的なソーシャルエンジニアリングを体験させ、取るべき行動を実践させるなど活動が効果的です。
また、ソーシャルエンジニアリングについてより詳しく解説したこちらの資料も併せてご覧ください。