ソーシャルエンジニアリングとは
ソーシャルエンジニアリングで心をハッキングします
サイバー犯罪のニュースでよく耳にするソーシャルエンジニアリングとは人間の心理的なスキやミスにつけこんでパスワードなどの機密情報を盗み出す手段の総称です。
たとえば、ゴミ箱をあさられることはないだろうと甘く見て、パスワードなどの機密情報をシュレッダーせずに廃棄してしまい、清掃員を装った犯罪者に盗まれてしまうなど。
そんなことは起きないはず、と思えることを犯罪の手口は軽く超えてくるため、油断して心のハードルが下がっていれば簡単に騙されてしまいます。ソーシャルエンジニアリングは、心のハッキングや騙しのテクニックなんて例えられたりします。
犯罪者は、そんなソーシャルエンジニアリングの手口をウイルスメールやフィッシング詐欺にも使ってきますから、法人に限らず、一般ユーザーでも騙されないようにしたいところです。今回はソーシャルエンジニアリングを使った犯罪の手口や対策を考えます。
ソーシャルエンジニアリングの事例
私が見聞きしたソーシャルエンジニアリングの事例の中でとても印象的なのは就活中の大学生を装った手口です。本年度の新規採用説明会の有無を問い合わせたメールが人事部宛に届き、担当が返信したところ、その後も大学生から熱心に質問などが続いたそうです。そして履歴書で相談したいことがあるということで添付ファイルが届き、このファイルは一見すると履歴書の下書きですが遠隔操作ウイルスをダウンロードしてしまうものでした。
この事例の肝は、大学生を装って熱心に質問を繰り返したことです。近年、学生の就職率が高いので、企業側には「来てほしい」という焦りがあっても不思議ではないですし、そもそも頑張っている姿勢を見ると応援したくなりますよね。担当の心をハッキングしたのではないでしょうか。
それと一般論として、上記のような会社は官公庁や大手企業と取引があったり、グループ会社の規模が大きいことを犯罪者が知っているので狙われます。マルウェア攻撃が成功した後はその会社に潜伏して情報を収集し、営業担当などになりすまし、次の攻撃の踏み台にします。この次の攻撃(官公庁や大手企業、グループ会社)までのすべてのシナリオがソーシャルエンジニアリングと言えます。
個人をターゲットにしたソーシャルエンジニアリングはあるの?
ウイルスメールをばらまいただけでは攻撃が成功する可能性がとても低いです。成功率を高めるために、ソーシャルエンジニアリングの手口が使われることもあります。たとえば、「Chromeのアンケート詐欺にご注意を!」の記事では、懸賞と偽ってちゃっかりとクレジットカード番号を盗み出すソーシャルエンジニアリングの手口が使われています。また「日本郵政を装うウイルスメールが流行!しっかり対策を」では、不在票と偽ってネット銀行のパスワードを盗み出すウイルスを送り付けるという、近日中に荷物が届く予定の方をターゲットにした手口が使われています。
ソーシャルエンジニアリングに騙されない方法はあるの?
犯罪者の目的はソーシャルエンジニアリングで騙すことではなく、あくまでもマルウェアに感染させたり、クレジットカード番号やネットサービスのパスワードを盗み出すことです。もしソーシャルエンジニアリングに気付かなくても、マルウェアなどの被害に遭わなければ問題ありません。そこでメールの添付ファイルを見たときや、メール本文のリンクからファイルのダウンロードが始まった場合は、ウイルスかな?とセキュリティ意識をオンにしたいところです。自分のリクエストで届いたのではなく、送り付けられたり誘導されている場合は仕組まれた罠と判断し、ファイルを開かずにしっかり立ち止まりたいですね。ITに詳しくない方は無条件で削除したほうが良いでしょう。
またメールでもWEB広告でも、たとえSNSであっても、もしリンクからログイン画面やクレジットカード番号を入力する画面が表示された時は仕組まれた罠と判断し、その画面を閉じたいところです。なお、それら情報を入力する時は必ず立ち止まり、ブラウザのアドレスバーからURLを点検する、という普段からの習慣もとても大切です。
もちろん、ソーシャルエンジニアリングの手口を多く知っていれば、自分が遭遇したときにピンと気が付く可能性が高まるでしょう。サイバー犯罪のニュースが流れたときは意識してチェックしたいですね。
ゴミ箱から盗まれることも……油断しないことも大切です
個人ユーザーがターゲットという条件で考えたときに、本当に怖いのはハッカーではなく、友人やパートナーといった身近な存在やストーカーなどの変態でしょう。たとえば、「スマホを遠隔操作される手口と、悪用を確かめる方法」では、アルバイトの女子大生のスマホに遠隔操作アプリを入れて私生活をのぞき見した事件を取り上げました。そのような個人レベルで起こるサイバー犯罪は珍しくありません。もし身の回りでサイバー犯罪が起きるはずがないと心のハードルが下がっていれば簡単に騙されてしまいます。人間の心理的なスキやミスにつけこむのがソーシャルエンジニアリングですから、油断は禁物です。
なお、ソーシャルエンジニアリングの代表的な手口には、電話でパスワードを聞いたり、ゴミ箱から機密情報を盗むというものがあります。電話でも紙のアンケートでもパスワードなどは秘密にしたいですし、そのような機密情報を廃棄するときは裂いたり壊すということを意識したいところです。それとショルダーハッキングもよくある手口。技術の進歩で手口が進化するのでぜひ「情報を盗む「ショルダーハッキング」とは?手口と対策」も読んでみてください。
【関連記事】
・偽Amazonメールに注意!フィッシング詐欺の対処法
・JTBの情報流出は防ぐことができたのか?