| 知らないと危険なソーシャルエンジニアリング|手法や対策ポイントを解説 | |
|---|---|
| 作成日時 24/05/22 (10:33) | View 310 |
ソーシャルエンジニアリングは、人間の心理的な弱点を突いて機密情報を盗む手法の一種です。以前より存在する定番のサイバー攻撃ですが、近年サイバー犯罪者はAIを使い、高度で精度の高いソーシャルエンジニアリングを仕掛けるようになっています。
実際に2023年の1月から2月のたった1か月の間に、新たなソーシャルエンジニアリング攻撃が135%も増加したとのこと。AIがこれほど進化した今、ソーシャルエンジニアリング攻撃はこれまで以上に重大な脅威となっています。
本記事では、企業担当者の方に向けてソーシャルエンジニアリングの特徴や種類、見極めるポイント、事例、そして対策法までわかりやすく解説します。
ソーシャルエンジニアリングとは、人間の心理的な弱点をついて不正な情報を入手しようとする手口を示します。単なる技術的な脆弱性を突くのではなく、人々の心理状態を巧みに操作し、油断を誘って重要情報にアクセスしようと企むのがソーシャルエンジニアリングの特徴です。
攻撃者は、信頼されるように見せかけたり、恐怖心や欲求を刺激したりと、様々な心理戦術を用いて標的をだまします。結果として、気づかぬうちに重大な過ちを犯し、機密情報を漏らしてしまうケースが後を絶ちません。つまり、最新のIT技術や高度なマルウェアではなく、人間の心理的な弱さに付け込んで不正アクセスを試みる点が最大の危険なのです。
なぜソーシャルエンジニアリング対策が重要なのでしょうか。それは、大規模なサイバー攻撃の発端となりかねないためです。攻撃者が組織内に入り込めば、ネットワーク内のさまざまな機密データにアクセスできてしまいます。個人情報の流出はもちろん、企業の知的財産や機密情報が漏れれば、甚大な被害が生じかねません。過去にも、ソーシャルエンジニアリングが原因で大手企業が被害に遭ったケースは多数報告されています。
また、「自社に限ってだまされるわけがない」と思われるかもしれませんが、最近は生成AIの発達により、ソーシャルエンジニアリングの脅威がより高まっています。AIの利用により、高度で巧妙なソーシャルエンジニアリング攻撃を大量に実施できるようになったのです。
どれだけサイバーセキュリティソフトを導入しても、従業員がソーシャルエンジニアリングの罠に引っかかれば、容易にサイバー攻撃が成功します。AIの台頭により、ますますソーシャルエンジニアリング対策の重要性が増しているのです。
ソーシャルエンジニアリングには、さまざまな戦術があります。
代表的な戦術の一つが「信頼性の演出」です。攻撃者は権威ある存在や信頼できる組織を装い、重要な情報を要求してきます。たとえば、情報システム担当者や上司、取引先を偽装して、IDやパスワードの提供を求めてくるといった具合です。「緊急の対応が必要」などと偽り、焦らせて油断を誘います。
もう一つの主な戦術は、「欲求へのアピール」です。「高額な現金や賞品が当たる」などのうたい文句に釣られ、不正なWebサイトにアクセスさせられてしまいます。また、「競合A社の内部情報を入手しました」と思わせ、機密情報が漏えいしてしまう例もあります。人間の欲望に付け込んで油断を誘うのが手口です。
さらに、攻撃者は「恐怖や切迫感」を刻み付けることで、標的の判断力を鈍らせる戦術もとります。よく見かけるのが「あなたの個人情報が流出した危険がある」と偽り、不安をあおる手法です。「ウイルスに感染している、今すぐ対処しなければ……」と焦らせ、安易に個人情報を入力させようとするなどです。危機感を植え付けることで、被害者は理性的な判断ができなくなります。
このように、ソーシャルエンジニアリング攻撃は技術的な側面だけでなく、人間心理学の知見を活用した巧妙な心理戦が用いられています。信頼性への偽り、欲望への扇動、恐怖や焦りの誘発など、攻撃者は様々な「だまし討ち」の手段を使い分けるのです。
ここでは、ソーシャルエンジニアリングの主な種類と特徴を見ていきましょう。
最も一般的なソーシャルエンジニアリングの手口がフィッシング攻撃です。攻撃者は銀行やクレジットカード会社、有名企業を装い、不審なメールを大量に送付します。そのメールには「アカウントの認証が必要」「パスワードを更新してください」などの偽りの指示が記載されています。メール内のリンクをクリックさせ、偽のWebサイトに誘導して個人情報を抜き取ることが目的です。
フィッシング攻撃をさらに発展させた攻撃がスピアフィッシングです。フィッシング攻撃が不特定多数を対象にするのに対し、スピアフィッシング攻撃では特定の組織や個人をターゲットに絞り込んで攻撃を仕掛けます。事前に詳しく標的を調べ、メールの内容や送信元を極めて巧妙に偽装します。信ぴょう性が高まるため、被害に遭う確率が高まります。
ベイティング攻撃はUSBメモリなどの物理的な記録媒体を利用した手口です。攻撃者は事前に不正なコードを仕込んだUSBメモリを、会社の構内や人通りの多い場所に無造作に落としておきます。拾った人物が中身を見ようとUSBをパソコンに挿入すると、マルウェアに感染してしまうといった具合です。
プリテキスティングとは、あらかじめ用意された口実や物語を通して不正な目的を達成する手口です。たとえば、攻撃者は「このアンケートにご協力ください」などのように調査を装い、社員から機密情報の入手を試みるかもしれません。
クイド・プロ・クオ攻撃は、物々交換のように見せかけて、最終的に重要情報を抜き取る手口です。当初は安価な情報を求めるだけですが、そこから次第に機密情報へとつなげていきます。一つひとつの要求は控えめですが、全体として大きな被害が生じる可能性があります。
ソーシャルエンジニアリング攻撃を効果的に防ぐには、早期に警告サインに気づき、攻撃を見破ることが不可欠です。そのためには、攻撃者がよく使う言語的・心理的なトリガーを理解しておく必要があります。
まずは、受け取ったメールや連絡の内容に注意を払いましょう。送信元アドレスが身に覚えのないものや常識的に考えて不自然な内容であればソーシャルエンジニアの可能性が高いと見なすべきです。「緊急の対応が必要」「個人情報が流出した恐れがある」など、不安をあおるフレーズにも注意しましょう。
また、知らない相手から高額な賞品が当選したと告げられたり、内部情報を匂わせて個人情報を要求されたりするケースにも気をつける必要があります。欲望をくすぐる言葉に惑わされてはいけません。
ソーシャルエンジニアリング攻撃では、しばしば非常識で不自然な要求がなされます。たとえば、上司に成りすまして「IDとパスワードをすぐに教えてください」など、通常ならあり得ない依頼が来た場合は危険信号と認識すべきでしょう。
攻撃者は個人情報や内部事情を引き出そうと、執拗に問いただしてくることもあります。理由や状況を改めて確認しても、不自然な言い訳や拙い言い逃れに終始するケースも珍しくありません。
ここまで見てきたようなソーシャルエンジニアリングの特徴があれば、速やかに内容の真偽や送信元の信頼性を検証しなければいけません。怪しいと感じたならば、リンクをクリックしたり、機密情報を送信したりすることは避けましょう。公式の連絡窓口に直接確認、確認のメールを送信するなど、安全な検証方法を心がける必要があります。
ここではソーシャルエンジニアリングがいかに高度化していて、決して油断できないことを理解していただくために、実際の被害事例を2選ご紹介します。
2024年3月、英国のエネルギー会社の最高経営責任者が、親会社のドイツ人CEOを偽った声で電話をかけられ、22万ユーロ(約243万円)を不正に送金する被害に遭いました。この事件は、生成AIを悪用したソーシャルエンジニアリング攻撃として、専門家の間で要注意すべき事例として注目されています。
当初、英国のCEOはかけてきた相手がドイツ人の上司であり、ハンガリーの取引先への支払いが緊急で必要だと告げられました。電話には、上司のわずかなドイツ語訛りが含まれていたため、疑いもせずに指示通りに送金してしまったというのです。
事後調査によると、犯行グループはAI音声合成ソフトウェアを使い、ドイツ人CEOの声を偽装していたと判明しました。従来のサイバーセキュリティ対策ではこの種の攻撃を検知できず、企業は無防備だったと指摘されています。
犯行グループは英国のCEOに3度電話をかけ、最後は別の番号から「返金した」と嘘をつき、さらなる送金を要求しました。しかしここで英国CEOが怪しみ、追加の送金は回避できたのです。しかし、すでに送金済みの20万ユーロ相当は、メキシコなどを経由して盗み取られました。
最近、新たな手口のフィッシング詐欺が確認されています。従来の画像ファイルを使わず、HTMLのテーブル機能を悪用してブランドロゴを偽造する手段がとられているのです。
フィッシング詐欺では、マイクロソフトやグーグルなど有名企業を偽装してメールが送られるケースが多々あります。本物のように見せかけるため、企業のロゴ画像をメールに埋め込むケースが多くありました。
しかし、画像ファイルが含まれるメールは不審メールとしてフィルタリングされるため、犯罪者は別の手段を編み出したのです。HTMLのテーブル機能を使い、4つの四角形を組み合わせ、色つきのロゴを作り出すという手段です。
たとえば、マイクロソフトのロゴは4つの四角を並べ、青、黄、赤、緑に色分けすれば再現できます。一見すると本物のロゴと区別がつかないため、一般の人が気づくのは難しいでしょう。
このようなテーブルで作ったロゴ入りのメールなら、不審メールのフィルタリングを通過するため、従業員が開封してしまう可能性が高くなります。
このようにサイバー犯罪者はセキュリティ対策のすき間を見つけ次々と新手口を編み出しています。HTMLの機能を悪用したロゴ偽造は、その最新事例と言えるでしょう。企業はこうした変化に柔軟に対応し、従業員への注意喚起が欠かせません。
それでは、高度化するソーシャルエンジニアリングを防ぐにはどうすればよいのでしょうか。ここでは、ソーシャルエンジニアリングの対策ポイントをご紹介します。
事例でも見られたように、犯罪者がAIを悪用して実在の人物の声を偽装する手口が確認されています。こうした高度な音声合成や映像編集による偽装を見抜くには、AI搭載のセキュリティソフトの導入が有効です。
AIがメール本文や添付ファイル、URLを解析して怪しいと判断した場合、アラートを発します。従来の対策ソフトとは異なり、AIによる高度な分析が可能なため、より確実な防御力が期待できます。
メールをきっかけに、ランサムウェア攻撃が開始されるケースが多いです。たとえば、とある企業では、従業員が身内に偽ったメールに含まれていた添付ファイルをクリックしたことをきっかけに、ランサムウェア攻撃を受けました。
このように、標的型攻撃の主な入口となるメールやWebサイトに対しては、特に監視を強化する必要があります。受信メールの常時監視やフィルタリング、添付ファイルやURLの解析、不審なIPからの通信遮断など、さまざまな機能によってチェックを行いましょう。
さらに端末へのアクセス制御も重要です。USBメモリ経由の不正侵入を防ぐため、デバイス制御を行ったり、Webブラウザの機能を制限したりする対策も検討すべきでしょう。
技術的な対策と併せて、人的な側面からの取り組みも欠かせません。ソーシャルエンジニアリング被害の多くは、従業員の認識不足が一因となっています。攻撃者の高度な手口に気づかず、被害に遭ってしまうケースが少なくありません。
そこで、従業員一人ひとりに対する教育が重要になります。具体的な攻撃事例を学ぶことで危機意識を持たせ、異常の兆候に気づく力を養う必要があります。定期研修に加え、実際に不審なメールを用いた模擬訓練を実施するなどして、対処能力を高めることが有効でしょう。
ソーシャルエンジニアリング攻撃は、人間の心理的弱点を悪用する卑劣な手口であり、企業への甚大な被害をもたらす脅威です。技術の進化とともに、攻撃者の手口はますます巧妙化、高度化しており、従来の対策では防ぎきれない状況が生まれつつあります。
こうした中で、AIセキュリティソフトの活用、通信監視と遮断の強化、そして何よりも従業員教育と意識向上が不可欠となっています。技術と人的な側面からの多層的な取り組みによってのみ、ソーシャルエンジニアリングの脅威から組織を守ることができるのです。
しかしながら、攻撃者は絶えず新たな手口を模索しており、どれだけ対策をしてもサイバー攻撃の被害に遭ってしまいます。そのため、現代では被害範囲を最小化する対策が必要です。
そこで有効な手段となるのが、定期的なダークウェブ監視です。サイバー犯罪者は、盗んだデータをダークウェブで売買します。ダークウェブを定期的に監視することで、被害状況を把握し、迅速な対策を講じられるのです。
すでに御社の情報が流出している可能性は十分にあります。まずは、以下リンクよりダークウェブ監視ツールの無料トライアルを利用して現状を把握することをおすすめします。
