ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスにつけ込んで、秘密情報を入手する手法全般を指す言葉です。個人のメモを覗き込んだり、顧客になりすまして機密情報を聞き出したりするのも、立派なソーシャルエンジニアリングです。

マルウェアやハッキングなどのコンピュータ上で行われる攻撃と異なる点として、セキュリティソフトや認証システムなどによる一元的な対策が難しいというものがあります。人のミスを狙った攻撃に対して、事前に従業員に向けて攻撃手法を周知しておく必要があります。

ここからは、様々な攻撃手法の詳細をご紹介していきます。

ショルダーハッキング

背後や物陰からPCやスマートフォンの画面を覗き込み、対象に気付かれないように情報を盗み見るのが、「ショルダーハッキング」と呼ばれる手法です。肩（ショルダー）越しに画面を覗き込むような動作から、このように呼ばれています。

原始的な手法ではありますが、テレワークの機会が増加しオフィス外でPCを開くことが増えた今、改めて注意したい攻撃です。

対策として、覗き見防止フィルターをPCの画面に貼り付けることで画面を横から覗きにくくする方法があります。また、オフィス外で機密情報を不用意に表示しないように呼びかけることも大切です。ショルダーハッキングでは覗き見された被害者が攻撃に気づかないケースが多いため、機密情報を表示する機会を極力減らすことが効果的です。

トラッシング

ゴミ箱や古紙として回収された書類から情報を盗み出すのが「トラッシング」という手法です。

攻撃者はネットワークの構成図やIPアドレス表を印刷した書類や、業務システムのユーザ名とパスワードのメモを盗み出すことで、ネットワークやシステムに不正ログインするための情報を入手しようとします。

不正アクセスされる可能性があるデータよりも紙媒体の方が安全で信頼できるという意見がありますが、紙媒体においてもトラッシングによって情報を盗み出される危険性が存在します。

企業におけるトラッシング対策として一番重要なのが、機密情報を記した書類やメモの廃棄方法をあらかじめ定めておく、というものです。いくつかの配送業者やオフィス向けのサポート業者では、機密書類を専用の機械で水に溶かす溶解処理サービスを行っています。シュレッダー処理をした書類をそのまま廃棄すると、細かく裁断された書類を復元されてしまう恐れがあるため、情報を安全に破棄するために溶解処理サービスを利用するのも効果的です。

スケアウェア

スケアウェアは、利用者に恐怖心（scare）を与えるマルウェアの総称です。コンピュータ上の脅威であるマルウェアの一種ではありますが、データを暗号化して金銭を要求するランサムウェアやデータを盗み出すスパイウェアとは異なり、スケアウェアによって表示された内容を見た人間に影響を与えることを目的としています。

スケアウェアの表示内容は様々なものがありますが、頻繁に見かけるものとして「ウイルスに感染しています」というポップアップを表示するものがあります。利用者に「PCがウイルスに感染した」と思わせて、対処のために個人情報の入力やウイルス対策ソフトの代金を要求するのです。他にも、違法コンテンツを購入した代金として、金銭を請求するタイプのスケアウェアもしばしば見られます。

スケアウェアに感染しないための対策としては、セキュリティ対策ソフトを最新に保ち、定期的にPC内をスキャンすることが求められます。また、万が一スケアウェアに感染しても利用者に不安を与える表示を見せないために、ブラウザの設定でポップアップを無効にするのも効果があります。

なりすまし（プリテキスティング）

「なりすまし（プリテキスティング）」は、顧客や情報システム管理者になりすまして個人情報やシステムの仕様などを聞き出す攻撃手法です。攻撃対象の上司を装って「システムのパスワードを忘れた。今すぐログインする必要があるので教えてほしい」といったメッセージを送り、パスワードを聞き出します。その際、普段から攻撃対象とやり取りがある身近な人物ではなく、企業の社長や専務などの重役になりすますことで、被害者に急いで対応しなければならないというプレッシャーを与えます。また、顧客を装って企業に連絡を取り、「貴社と取引をしているが担当者の氏名と電話番号が分からなくなったので教えてほしい」といった手口で情報を聞き出すこともあります。

なりすましの対策として、よく攻撃に用いられるメールのフィルタリングを強化する方法があります。社内の人物になりすますために表示名を偽装している場合は、メールの傾向を分析して怪しいメールを見つけ出すことができます。また、社員になりすましの事例や手法を周知することも大切です。特に電話や対面での攻撃に対しては社員の判断力で対処するほかないため、事前に機密情報のやり取りについてルールを作っておくことが大切です。

テールゲート

「テールゲート」は入室時に認証が必要なエリアで、許可された通行者の後をついていって認証を潜り抜ける行為を指します。日本語では「共連れ」と呼ばれることもあります。

近年のオフィスでは入室時にICカードによる認証や生体認証を行う場所が増えていますが、同時にテールゲートの脅威も注目されてきています。自身の認証情報を使わずに前の人に続いて入室するという行為は、正規の従業員でもやってしまうことがあるので注意が必要です。テールゲートが常態化してしまうと、いざ不正侵入が発生した場合に事後の検証が困難になります。

テールゲートへの対策は、セキュリティゲートを一人ずつしか通さないものに変更したり、監視カメラで証拠を残すといった方法があります。また、物を置くなどしてドアが長時間開いたままになっているときに警告音声を流す方法も効果的です。同時に従業員に対して、テールゲートをせずに自分の認証情報で入室するように呼び掛けることも大切です。

ソーシャルエンジニアリングによる被害の実例

ソーシャルエンジニアリングによって巨額の被害を受ける事例が、実際に発生しています。

2017年、日本航空（JAL）がメールのなりすまし被害によって約3億8000万円を詐取される事件が発生しました。この事件では、攻撃者がJALと取引先間のメールのやり取りに割り込んで、取引先を装って攻撃者の口座に金を振り込ませる手口で大きな被害が発生しました。不特定多数の宛先になりすましメールを送信する手法とは違い、実在する取引先との既存のやり取りの中に虚偽の情報を紛れ込ませることで、被害者がなりすましだと気づきづらくしています。

JALの事例では、2度にわたりなりすましメールが送られ、それぞれで担当者がお金を振り込んでしまう被害が発生しています。これらの攻撃はどちらも既存の取引先になりすまして「料金の振込先の口座が変更された」とするメールを送っています。その際、攻撃者は既存の取引先から送られてきたメールの文面をそっくりに利用して取引先になりすましていました。これは既存のメールのやり取りが盗み見られていた可能性が高いことを表しています。コンピュータセキュリティへの攻撃で情報を盗み見て、ソーシャルエンジニアリングの手法で担当者の心理的な隙を突いて攻撃を成功させたのです。

このような攻撃の対策として考えられるのは、口座の変更や新たな連絡先などの情報が取引先から送られてきた場合は、電話などで相手に折り返し確認することです。その際、連絡先はメールなどで送られてきたものではなく、自身で調べて正規の連絡先であることを確認してから連絡する必要があります。

最後に

業務のDXが盛んに推進される中、コンピュータ上のセキュリティ対策はしていても人間を狙ったソーシャルエンジニアリングについては対策できていない企業が多く見られます。

一朝一夕で効果を出すことが難しいソーシャルエンジニアリング対策を早めに始めて、業務業務の安全性を保つことが重要です。