概要
セキュリティにおけるソーシャル・エンジニアリングとは、人間の行動を悪用して、情報、システム、または物理的な場所への不正アクセスを得るための手法を指します。攻撃者はハードウェアやソフトウェアを直接攻撃するのではなく、信頼、権威、好奇心、恐怖、親切心などを操作して、対象者に認証情報を明かさせたり、送金させたり、アクセスを許可させたりします。
一般的な手法
実施者は、効果を高めるために複数の方法を組み合わせることがよくあります。代表的な手口には次のようなものがあります。
- フィッシング: 正規の送信元を装った欺瞞的なメールやメッセージで、認証情報を盗んだり、マルウェアを配布したりする。
- プリテキスティング: 偽の身元や役割を用いた作り話を設定し、情報や行動を引き出す。
- ベイティングと quid pro quo: 何か魅力的なものを提示したり、支援を装ったりして、その見返りに情報を得る。
- テールゲーティングと物理侵入: 権限のある人物の後について制限区域に入り込む、あるいは物理的管理の甘さを突く。
- ビッシングと SMiShing: 音声通話やテキストメッセージを使い、秘密を明かさせたり取引を実行させたりする。
なぜ有効なのか
ソーシャル・エンジニアリングが成功するのは、人間の予測しやすい反応を利用するからです。攻撃者は、権威への服従、切迫感、役に立ちたいという気持ち、好奇心といった認知バイアスを突きます。十分な備えがある組織でも、個人が緊張や混乱の中で手順を省略すれば脆弱になりえます。
歴史と背景
古くからある信用詐欺や詐欺行為に根ざしたソーシャル・エンジニアリングは、ネットワークとデジタルサービスの普及とともに情報セキュリティ実務の重要な対象になりました。コンピュータ・セキュリティの文脈では、技術的な防御を回避して初期侵入を得るために使われることから、「ソーシャル・ハッキング」と呼ばれることもあります。
結果と事例
ソーシャル・エンジニアリング攻撃が成功すると、データ侵害、金銭詐欺、ID盗用、ランサムウェア感染、スパイ活動につながる可能性があります。典型的な侵入口には、パスワード再設定を求める偽メール、偽のITサポートの電話、あるいは駐車場に意図的に置かれ、従業員に拾われて使われる悪意あるUSBメモリなどがあります。多くの大規模インシデントは、直接的なソフトウェアの脆弱性ではなく、人を標的にした操作から始まります。
予防と緩和
防御策は、方針、教育、技術的対策を組み合わせます。効果的な手段には、定期的な意識向上トレーニングと模擬演習、多要素認証(MFA)などの強力な認証、機密データや送金に関する要求に対する厳格な確認手順、堅牢なメールフィルタリングとリンク処理の方針、物理的セキュリティ管理、明確なインシデント対応計画が含まれます。異例の要求に対して職員が疑問を持ち、報告しやすい文化や窓口も、リスク低減に役立ちます。
区別と参考
ソーシャル・エンジニアリングは、主として人間同士のやり取りに依存する点で、純粋な技術的ハッキングとは異なりますが、しばしばマルウェアやネットワーク攻撃と併用されます。低技術の手口にも、精密に標的を絞った調査ベースの手口にもなりえます。実務上の指針や推奨事項については、参考資料を参照してください。