IT用語集 2023/10/20

ソーシャルエンジニアリングとは？わかりやすく10分で解説

コラム

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、攻撃者が人をだまして、認証情報や機密情報を聞き出したり、不正な操作を実行させたりする攻撃手法です。システムの脆弱性だけを狙うのではなく、信頼、焦り、権威、好奇心といった人間の反応を利用します。サイバー攻撃の中でも、メール、電話、SMS、チャット、SNS、対面で成立するため、個人と組織のどちらにも影響します。

この攻撃で確認すべき点は、怪しい連絡を見分ける知識だけではありません。攻撃者は、正規の担当者、取引先、上司、公的機関、サポート窓口を装い、相手に「今すぐ対応しなければならない」と思わせます。そのため、被害を抑えるには、連絡内容を別経路で確認する手順、例外処理を認めない承認ルール、報告しやすい社内体制を組み合わせる必要があります。

フィッシングとの関係

フィッシング詐欺は、ソーシャルエンジニアリングの代表的な手口です。偽メールや偽サイトを使い、利用者にID、パスワード、クレジットカード情報、認証コードなどを入力させます。攻撃者が狙うのは、技術的な突破だけではありません。利用者本人に正規操作だと思わせ、情報を入力させる点に特徴があります。

同じフィッシングでも、対象や経路によって呼び方が変わります。特定の個人や組織を狙うものはスピア・フィッシング、SMSを使うものはスミッシング、電話を使うものはビッシングと呼ばれます。手口の名称が違っても、相手を信用させ、確認を省かせ、情報や操作を引き出す構造は共通しています。

ソーシャルエンジニアリングの主な手口

攻撃は、メールやSMSだけで完結するとは限りません。電話、チャット、対面、物理的な侵入を組み合わせる場合もあります。代表的な手口は次の通りです。

フィッシング：偽メールや偽サイトで認証情報、決済情報、個人情報を入力させる
スピア・フィッシング：役職、取引関係、業務内容などを調べたうえで、特定の相手に合わせた文面を送る
ビジネスメール詐欺（BEC）：経営層、取引先、担当部署を装い、送金や口座変更を指示する
スミッシング：SMSで偽サイト、偽通知、偽配送連絡などへ誘導する
ビッシング：電話で本人確認、認証コード、口座情報、社内情報を聞き出す
プリテキスティング：もっともらしい事情や役割を作り、相手に情報提供や操作を促す
テールゲーティング：入退室時に正規利用者の後ろについて、管理区域へ入り込む
ショルダーサーフィン：画面やキーボード操作をのぞき見し、暗証番号や入力内容を盗み取る
ベイティング：USBメモリ、無料資料、限定特典などを餌にし、利用者に開封・接続・入力をさせる

狙われやすい心理

ソーシャルエンジニアリングは、相手の判断能力を奪うのではなく、判断の前提を攻撃者に都合よく変えます。典型的には、信頼、緊急性、権威、利益、好奇心が利用されます。

信頼と権威

人は、知っている相手や権限のある相手からの連絡を信じやすい傾向があります。攻撃者は、上司、取引先、社内IT部門、金融機関、公的機関などを装い、受け手の警戒を下げます。差出人名やロゴが本物に見えても、メールアドレス、ドメイン、電話番号、依頼内容まで確認しなければ判断できません。

緊急性と恐怖

「アカウントが停止される」「不正アクセスを検知した」「今日中に送金が必要」といった文面は、確認の時間を削るために使われます。焦った状態では、普段なら行う確認を省略しやすくなります。組織では、急ぎの依頼ほど承認手順を省略できない設計にしておく必要があります。

利益と好奇心

高額当選、限定特典、未公開資料、著名人の話題、流出確認などは、リンクをクリックさせる誘導に使われます。内容が魅力的なほど、受け手は「確認してから開く」よりも「先に見たい」と考えやすくなります。業務端末では、業務に関係しないリンクや添付ファイルを開かない運用を徹底します。

被害が起きる流れと影響

ソーシャルエンジニアリングの被害は、1通のメールや1本の電話で終わらない場合があります。認証情報の詐取、アカウント乗っ取り、社内システムへの不正ログイン、情報持ち出し、送金、ランサムウェア感染へ連鎖することがあります。

個人に起きる被害

個人では、通販サイト、金融サービス、SNS、メールアカウントが狙われます。IDとパスワードを入力してしまうと、攻撃者が本人になりすましてログインし、登録情報の閲覧、購入、送金、連絡先への詐欺メッセージ送信を行う可能性があります。複数サービスで同じパスワードを使っている場合、1件の漏えいが別サービスへの不正ログインにつながります。

企業に起きる被害

企業では、顧客情報、取引情報、設計情報、契約情報、認証情報が狙われます。フィッシングで奪われた認証情報から社内システムへ入られると、情報漏えい、業務停止、改ざん、不正送金、追加攻撃の踏み台化につながります。被害後には、顧客説明、復旧対応、監督官庁や取引先への報告、再発防止策の実施も発生します。

委託先や取引先を経由する被害

自社の対策だけでは、取引先や委託先を経由する攻撃を完全には防げません。攻撃者は、外部委託先や関連会社のアカウントを奪い、そこから本来の標的へ近づくことがあります。こうしたサプライチェーン攻撃では、委託先管理、アクセス権限の限定、取引先からの依頼確認、権限変更時の承認手順が被害拡大を抑える条件になります。

個人ができる対策

個人の対策は、怪しい連絡を見抜くことだけに頼ると限界があります。攻撃文面は本物に似せて作られるため、見た目ではなく確認手順で判断します。

リンクや添付ファイルを開く前に確認する

差出人の表示名ではなく、メールアドレスとドメインを確認する
リンク先URLを確認し、短縮URLや似た文字を使ったドメインに注意する
添付ファイル、QRコード、ログインページへの誘導を無条件に信用しない
認証情報、クレジットカード番号、認証コードの入力を求める連絡は別経路で確認する

少しでも違和感がある場合は、メッセージ内のリンクや電話番号を使わず、公式サイト、アプリ、社内名簿、契約書に記載された連絡先から確認します。攻撃者が用意した連絡先に返信すると、同じ罠の中でやり取りが続きます。

パスワードを使い回さない

同じパスワードを複数のサービスで使うと、1件の漏えいが別サービスの不正ログインにつながります。サービスごとに異なる長いパスワードを設定し、記憶に頼らずパスワードマネージャーで管理します。推測されやすい単語、誕生日、電話番号、会社名を含むパスワードは避けます。

多要素認証を有効にする

多要素認証を使うと、IDとパスワードだけでログインされるリスクを下げられます。ただし、方式によって耐性は異なります。認証コードを入力させる偽サイトもあるため、可能であれば耐フィッシング多要素認証やパスキー、セキュリティキーなど、偽サイトへ情報を渡しにくい方式を優先します。

組織が取るべき対策

企業では、従業員の注意力だけに依存しない設計が必要です。特に、送金、権限付与、パスワードリセット、委託先変更、口座変更、重要データの持ち出しは、手順と証跡で管理します。

確認手順を業務に組み込む

送金依頼、口座変更、権限変更、緊急のパスワードリセットは、メールやチャットだけで承認しないルールにします。依頼元を別経路で確認し、金額・口座・権限・期限・承認者を記録します。上長や役員を名乗る依頼でも、例外扱いを認めないことが実効性を左右します。

権限と認証を分けて管理する

全員に広い権限を与えると、1つのアカウントが奪われたときの影響が大きくなります。業務に必要な範囲だけ権限を付与し、管理者権限や共有アカウントの利用を制限します。重要システム、メール、クラウドサービス、VPN、管理画面には多要素認証を適用し、権限変更や退職時の削除も記録します。

教育と報告体制を整える

教育では、手口の名前を覚えさせるだけでは不十分です。従業員が実際に判断する場面、つまり怪しいメールを受け取ったとき、上司を名乗る送金依頼を受けたとき、電話で認証コードを聞かれたときに、どこへ相談し、何をしてはいけないかを明確にします。報告者を責める運用にすると、初動が遅れます。誤って開いた場合でも、すぐに報告できる環境を作ります。