ソーシャルエンジニアリング攻撃とは?


ソーシャルエンジニアリング攻撃とは?
ソーシャルエンジニアリング攻撃とは?

ソーシャルエンジニアリング攻撃は人の脆弱性を狙って実行される詐欺行為で、従来被害を引き起こしてきた手口に加え、より計画的に巧妙な手口が増加しています。企業を狙ったソーシャルエンジニアリング攻撃では、多大な被害がでているのが現状です。そこで今回は、ソーシャルエンジニアリング攻撃の手口について紹介します。

ソーシャルエンジニアリング攻撃とは?

ソーシャルエンジニアリング攻撃とは、人間の心理的な隙やミスなどの脆弱性につけ込んで、重要な情報を盗み出す心理的攻撃の総称です。

ソーシャルエンジニアリング攻撃の手口

ソーシャルエンジニアリング攻撃の手口は時代とともに変化しています。手口は巧妙化し、今後も新しい手口が出てくる可能性があります。

電話を利用したソーシャルエンジニアリング攻撃

電話を利用したソーシャルエンジニアリング攻撃は、古くからある手口です。たとえば、顧客になりすまして企業担当者から重要な情報を聞き出したり、逆に企業担当者になりすまして、顧客から重要な情報を聞き出します。

電話を利用したソーシャルエンジニアリング攻撃対策のひとつとして、「電話では重要な情報を伝えない」といったルールを決めておく方法があります。

フィッシング

フィッシングは、インターネットを使って実在の金融機関、クレジットカード会社、ショッピングサイトの企業になりすましてメールをターゲットに送り、メールに張り付けたリンクからターゲットを偽サイトに誘導し、ターゲット個人の重要情報である暗証番号などを入力させ、それをつかってお金を引き出すなどの搾取を実行する手口です。

プリテキスティング

プリテキスティングは、ターゲットから情報を引き出すために、クライアントや業者などになりすまし、何らかの口実を使って接近する手法です。

ショルダーハッキング

ショルダーハッキングは、「覗き見」によって、IDやパスワードなどの重要情報を窃取する手口です。キーボード入力の手の動きや、ディスプレイの画面などから重要な情報を読み取ります。社外でモバイル操作をするときなどは注意が必要です。

トラッシング(メールハント)

トラッシングは、廃棄されたゴミから、重要情報を見つけ出す手法です。ターゲットと決めた企業の廃棄書類管理の脆弱性を狙ったソーシャルエンジニアリング攻撃です。

ゴミばかりではなく、郵便物を盗んで請求者などに記載された情報を使って攻撃をおこなうメールハントという手法も近年増加しています。

スケアウエア

スケアウエアは、ユーザーの恐怖心を煽ることでソーシャルエンジニアリング攻撃の精度を高める手口の総称です。たとえば、ウイルスに感染しているかのようなポップアップをサイトの画面に表示して重要情報を盗むケースなどがあります。

リバースソーシャルエンジニアリング

リバースソーシャルエンジニアリングは、ターゲットから電話などを掛けさせるように仕向け、電話をかけてきた人から重要な情報を盗み出す手口です。

増加している標的型メールによるソーシャルエンジニアリング攻撃

増加している標的型メールによるソーシャルエンジニアリング攻撃

近年増加しているのが、ソーシャルエンジニアリング攻撃の手法を用いた標的型攻撃メールです。標的型攻撃メールは、不特定多数のアドレスに大量に発信するフィッシング詐欺メールとは手口が異なり、標的とした企業の担当者を狙って送信されます。

標的型攻撃メールの手口は、標的企業の担当者が通常の業務として疑わずに開けてしまうようなウイルス付きのメールを企業に送り、標的企業から重要な情報を盗み出します。標的型攻撃メールに使われる偽メールは、標的企業の業務担当者が送受信している、送信者、件名、宛先、文面、添付ファイル形式、署名などが本物そっくりに偽造されています。

標的企業の担当者が、標的型攻撃メールと気づかずに、添付されたリンクをクリックしたり、添付ファイルを開けてしまうと、ウイルスに感染し、重要情報が盗まれてしまいます。

ソーシャルエンジニアリング攻撃の手法を用いた標的型攻撃メール対策として、企業ではウイルス対策ソフトを導入し、最新の内容に更新をおこなうことが一般的です。ただし、標的型攻撃メールのウイルスは、ウイルス対策ソフトで検出されないケースも多く、完璧な防衛は難しいのが現状です。

企業では疑わしいメールが届いた場合に、添付されたリンクをクリックしたり、添付ファイルを開けないように、社員教育を継続的に実施していく必要があります。

まとめ

ソーシャルエンジニアリング攻撃の手口は多様化し、巧妙化しています。日常的にソーシャルエンジニアリング攻撃を意識し、「電話で重要情報を尋ねられても即答しない」「疑わしいメールのリンクをクリックしたり、添付ファイルを開けない」「オフィスだけでなく社外で端末を操作するときにも情報管理を徹底する」「廃棄書類のルールに従う」「オフィスのセキュリティ管理を万全にする」などの対策を実行しましょう。