ソーシャルエンジニアリングとは?対策などをわかりやすく解説

※この記事にはプロモーション(広告)が含まれています。

ソーシャルエンジニアリングとは、技術的な攻撃ではなく、人間の心理的な隙や行動のミスを狙ったサイバー攻撃の一種である。




概要

ソーシャルエンジニアリングは、攻撃者が標的となる人物の信頼や恐怖心、好奇心などを巧みに利用して、情報やシステムへのアクセス権を奪う手口である。

攻撃者は、電話やメール、SNSなどを使って標的と接触し、緊急性をアピールしたり、脅迫したり、好奇心を煽ったりして、標的から情報やパスワードなどを入手する。

ソーシャルエンジニアリングは、技術的な知識やスキルがなくても実行できるため、誰でも被害に遭う可能性がある。

ソーシャルエンジニアリングの手口

ソーシャルエンジニアリングには、以下のような手口がある。

フィッシング

フィッシングは、偽のメールやSMSを送信して、標的から個人情報やパスワードなどを盗み取る手口である。

攻撃者は、メールやSMSに、あたかも公式な企業や団体からの連絡であるかのように装い、標的の不安や好奇心を煽って、情報を入力させる。

例えば、企業の社員を装って、パスワードの更新やアカウントの再設定を要求するメールを送信する。メールに記載されているリンクをクリックすると、偽のログイン画面が表示され、入力したパスワードが攻撃者に盗まれてしまう。

なりすまし

なりすましは、攻撃者が標的になりすまして、情報やシステムへのアクセス権を奪う手口である。

攻撃者は、標的の社員や顧客になりすまして、電話やメールで標的と接触し、個人情報やパスワードなどを聞き出す。

例えば、企業の役員や顧客になりすまして、電話で標的と接触し、「システムの不具合で、パスワードを変更する必要があります」などと伝え、パスワードを聞き出す。

脅迫

脅迫は、攻撃者が標的を脅迫して、情報やシステムへのアクセス権を奪う手口である。

攻撃者は、標的の個人情報を盗み取って、それをネタに脅迫したり、標的のシステムを乗っ取って、その情報を公開すると脅迫したりして、情報を入手する。

例えば、標的の個人情報を盗み取って、「この情報を公開します」などと脅迫して、金銭を要求する。

ショルダーハッキング

ショルダーハッキングは、攻撃者が標的の肩越しにキー入力を見たりして、情報を盗み取る手口である。

例えば、銀行のATMや公共施設のパソコンなどで、標的がパスワードを入力しているときに、攻撃者が背後からキー入力を見たりして、パスワードを盗み出す。

トラッシング

トラッシングは、攻撃者が標的のゴミ箱を漁って、情報を盗み取る手口である。

例えば、企業や個人のゴミ箱から、パスワードが記載されたメモや、書類の断片などを回収して、情報を入手する。

SNSの悪用

SNSの悪用は、攻撃者がSNSを悪用して、標的をだまして情報を入手する手口である。

例えば、SNSで標的になりすまして、友人や知人を装って、個人情報やパスワードなどを聞き出す。

ソーシャルエンジニアリングは、さまざまな手口が用いられるため、注意が必要である。不審なメールやSMSには注意する、電話で個人情報を聞き出そうとする相手には注意する、パスワードを定期的に変更する、セキュリティソフトを導入する、セキュリティ教育を受けるなどの対策を講じて、被害に遭わないように注意しよう。

ソーシャルエンジニアリングの被害

ソーシャルエンジニアリングは、技術的な攻撃ではなく、人間の心理的な隙や行動のミスを狙ったサイバー攻撃であるため、被害は多岐にわたる。

以下に、ソーシャルエンジニアリングの被害の例をいくつか挙げる。

個人情報の漏洩

ソーシャルエンジニアリングによって、個人情報(氏名、住所、電話番号、メールアドレス、クレジットカード番号など)が漏洩すると、なりすましや詐欺などの被害に遭う可能性がある。

例えば、フィッシングによってクレジットカード番号が漏洩すると、不正利用される可能性がある。

金銭の被害

ソーシャルエンジニアリングによって、金銭を騙し取られる被害も発生している。

例えば、なりすましによって、企業の従業員に偽の請求書を送り付け、金銭を振り込ませる被害が発生している。

システムへの侵入

ソーシャルエンジニアリングによって、システムへの侵入を許してしまう被害も発生している。

例えば、なりすましによって、企業のシステム管理者にパスワードを入力させ、システムに侵入する被害が発生している。

企業の信用失墜

ソーシャルエンジニアリングによって、企業の信用が失墜する被害も発生している。

例えば、なりすましによって、企業の公式アカウントから偽の情報を流布する被害が発生すると、企業の信用が失墜する可能性がある。

ソーシャルエンジニアリングの被害は、個人や企業に大きな損害を与える可能性があるため、注意が必要である。

ソーシャルエンジニアリングの対策

ソーシャルエンジニアリングへの対策として、以下のような点に注意する必要がある。

不審なメールやSMSには注意する

ソーシャルエンジニアリングの代表的な手口であるフィッシングは、偽のメールやSMSを送信して、標的から個人情報やパスワードなどを盗み取る手口である。

不審なメールやSMSには、以下の点に注意する。

* 送信元が怪しい
* 内容が不自然
* リンクやURLが怪しい

メールやSMSに記載されているリンクURLは、クリックしない。また、メールやSMSの送信元が公式な企業や団体であるかどうかも、よく確認する。

電話で個人情報を聞き出そうとする相手には注意する

なりすましや脅迫などの手口で、電話で個人情報を聞き出そうとする攻撃者もいる。

電話で個人情報を聞き出そうとする相手には、以下の点に注意する。

* 突然、個人情報を聞き出そうとする
* 急ぎの用件があると言って、個人情報を聞き出そうとする
* 話がおかしな点がある

電話で個人情報を聞き出そうとする相手には、個人情報を教えてはいけない。また、電話の相手が本当に信頼できる人物かどうか、よく確認する。

パスワードを定期的に変更する

パスワードは、定期的に変更して、複雑なものにする。また、パスワードを複数のアカウントで使い回さないようにする。

パスワードを定期的に変更することで、万が一パスワードが漏洩しても、被害を最小限に抑えることができる。また、パスワードを複雑にすることで、攻撃者が解読するのを難しくすることができる。

セキュリティソフトを導入する

セキュリティソフトを導入して、不正アクセスマルウェアの感染を防ぐ。

セキュリティソフトは、不正アクセスやマルウェアの感染を防ぐためのさまざまな機能を備えている。セキュリティソフトを導入することで、ソーシャルエンジニアリングによる被害を未然に防ぐことができる。

セキュリティ教育を受ける

ソーシャルエンジニアリングの被害に遭わないためには、セキュリティ教育を受ける必要がある。

セキュリティ教育では、ソーシャルエンジニアリングの手口や対策について学ぶことができる。セキュリティ教育を受けることで、ソーシャルエンジニアリングの被害に遭うリスクを低減することができる。

まとめ

ソーシャルエンジニアリングは、技術的な知識やスキルがなくても実行できるため、誰でも被害に遭う可能性がある。

ソーシャルエンジニアリングへの対策として、不審なメールやSMSには注意する、電話で個人情報を聞き出そうとする相手には注意する、パスワードを定期的に変更する、セキュリティソフトを導入するなどの点に注意する必要がある。

ソーシャルエンジニアリングを学ぶのにおすすめの書籍

タイトルとURLをコピーしました