ソーシャルエンジニアリング攻撃とは？

ソーシャルエンジニアリングとは？

大まかに言えば、ソーシャルエンジニアリングとは、機密情報を提供させるようにするマインドコントロール（心理操作）のことです。ソーシャルエンジニアリング攻撃は、強盗が配達トラックの運転手に扮して建物に侵入しようとするように、対面で発生することもあります。この記事では、サイバー攻撃へとつながるソーシャルエンジニアリングに焦点を当てます。こうした攻撃のほとんどは、ログイン情報または機密／財務情報のいずれかを被害者に提供させることを目的としています。

ソーシャルエンジニアリング攻撃の例としては以下のようなものがあります：

• 攻撃者は、被害者の連絡先リストに保存されている誰かになりすまして被害者に電子メールを送付します。この電子メールには、悪意のあるクロスサイトスクリプティング攻撃を実行する、または被害者を悪意のあるサイトに誘導する不審なリンクが含まれている場合があります。
• 攻撃者は、人気のある映画やソフトウェアをダウンロードするリンクを用いてオンラインユーザーをおびき寄せますが、これらのダウンロードには悪意のあるペイロードが含まれています。
• 攻撃者は、裕福な外国人を装って被害者に電子メールを送り付け、大量の資金を送金するのに米国の銀行口座情報が必要だと主張し、銀行口座情報を貸してくれたら資金の一部を渡すと申し出ます。実際には、攻撃者は被害者の口座から資金を引き出します。
• 攻撃者がフィッシングメールを送り、被害者を偽のログインページに誘導してパスワードを盗む。

ソーシャルエンジニアリング攻撃にはこれらの小規模で個人を狙った攻撃に加えて、組織全体を対象とした、より高度で複雑な攻撃も存在します。一例として、サムドライブ（USBドライブ）ドロップがあります。こうした攻撃は、インターネットにも接続されていない守りの固い会社のネットワークを標的にすることがあります。攻撃者は、標的とする会社の駐車場にUSBフラッシュドライブをいくつかばらまきます。「機密」といったような気を引くラベルを貼り付けて、好奇心旺盛な従業員が見つけてコンピューターに差し込むことが狙いです。こうしたドライブには、ローカルコンピューターからネットワークに侵入するため検出するのが困難な非常に破壊的なウィルスやワームが含まれている可能性があります。

ソーシャルエンジニアリング攻撃はどのように機能するのか？

ソーシャルエンジニアリング攻撃は、電話、メール、ソーシャルメディアの投稿経由、さらには対面で行われる場合もあります。攻撃者はさまざまな手口を使用します。一部の手口では以下で説明するように、被害者の信頼を得て、意図した行動をとるように操ります。目的は常に、被害者に最初は意図していなかった行動を取らせることです。

ソーシャルエンジニアリング戦術

• 信頼できる人物になりすます：これは、ブランド、同僚、上司、または友人や家族の一員になりすますことを指します。
• ベイティング：攻撃者は被害者にとって魅力的なものを餌（ベイト）として提供します。餌として使われるのは、無料のソフトウェアダウンロード（マルウェアを含む）、将来の金銭支払いの約束、または職業上の恩恵です。
• プリテキスティング：ほとんどのソーシャルエンジニアリング攻撃には、何らかの形でプリテキスティングが含まれます。これは、攻撃者が偽の状況を作り出し、意図した被害者にその解決策を提示することです。たとえば、攻撃者は被害者に対して「重要なアカウントにログインできなくなっている。問題を解決するためにログイン情報を渡す必要がある」などと持ち掛けます。
• 感情的な訴え：詐欺師は、被害者に特定の感情を抱かせて行動を起こさせようとします。恐怖（解決しなければならない悪い状況を示す）、欲望（被害者に何かを提供する）、親切心（支援が必要なふりをする）など、強い感情を利用して標的を操ります。
• スケアウェア：ソーシャルエンジニアリングを目的作られたソフトウェアは、スケアウェアと呼ばれます。このソフトウェアは通常、被害者を驚かせるポップアップメッセージ（被害者のコンピュータに複数のウイルスが感染していると伝えるメッセージなど）を表示することで動作します。このメッセージは、（偽の）問題を解決するためと偽り、被害者にマルウェアをダウンロードさせたり、個人情報を提供させたりするように指示します。

大規模なサイバー攻撃キャンペーンとソーシャルエンジニアリング攻撃の位置づけ

ソーシャルエンジニアリング攻撃者の中には、単に直接の被害者から得られるものを狙うだけの者もいます。しかし、他の攻撃者は、ビジネス全体やネットワーク、その中のデータを侵害するなど、より大きな目標を達成するためにソーシャルエンジニアリングを利用します。ランサムウェア攻撃やデータ漏洩の多くは、ソーシャルエンジニアリングが発端となります。攻撃者が一人を侵害すると、その人物が所属する組織全体へのアクセスが容易になります。

悪名高いソーシャルエンジニアリング攻撃の事例

2011年のRSAのデータ漏えいが大きな波紋を投げかけたのは、RSAが信頼されるセキュリティソフトウェア開発会社だったからです。このデータ漏えいは、人気のあったRSAの二要素認証サービス「SecurID」を停止させました。攻撃の詳細については公表されていませんが、ソーシャルエンジニアリング攻撃が発端だったことはわかっています。この攻撃の発端となったのは基本的なフィッシング攻撃でした。攻撃者は、採用に関する社内メールを装って下位レベルのRSA従業員に電子メールを送付しました。従業員の1人がこの電子メールの添付ファイルを開いたため攻撃が実行されました。

AP通信は、2013年にソーシャルエンジニアリング攻撃の被害に遭い、1360億ドルの株式市場の下落を招きました。この攻撃も従業員に送付されたフィッシングメールによって実行されました。1人の従業員が電子メールのリンクをクリックしたことで攻撃が実行されました。AP通信のTwitterアカウントをハッキングした攻撃者は、ホワイトハウスで爆発があったという偽のニュースをツイートしました。この偽のニュースは瞬く間に広まり、ダウ工業株30種平均は150ポイント急落しました。シリアのハッカーグループ「Syrian Electronic Army（シリア電子軍）」がこの攻撃を実行したと主張しましたが、証拠は提示されませんでした。

2013年にTargetを標的としたデータ漏えい攻撃は、その巧妙さから史上最も悪名高いサイバー攻撃の1つとされています。前述したほかの攻撃と同様に、この攻撃もソーシャルエンジニアリングが発端となっていますが、攻撃者はTargetの従業員を標的にしませんでした。その代わりに、攻撃者は、Target店舗にハイテク空調設備を設置した空調設備会社の従業員に電子メールを送付したのです。こうした空調設備はTargetの自社コンピューターシステムと連動していて、攻撃者はこのサードパーティベンダーのシステムに侵入した後、Targetのネットワークをハッキングして店舗の数千のクレジットカードスキャナーからクレジットカード情報を引き出しました。4000万人近くのTargetの顧客の財務データが侵害を受けました。

ソーシャルエンジニアリング攻撃を防止する方法

電子メールスクリーニングのような自動セキュリティ機能は、攻撃者が被害者に連絡するのを防止するのに役立ちますが、一般的な常識とソーシャルエンジニアリング攻撃の最新知識を持ち合わせることが、ソーシャルエンジニアリング攻撃に対する最良の防御策となります。米コンピューター緊急事態対策チーム（United States Computer Emergency Readiness Team、US-CERT）は、不審な通信に警戒し、安全なWebページ上で高レベルのプロトコルを介してのみ機密情報を送信するよう提言しています（HTTPSやTLSはWebサイトのセキュリティレベルを見分ける目安となります）。また、電子メールに含まれているリンクをクリックせずに、信頼できる企業のURLをブラウザーに直接入力することも推奨しています。Webサイトの所有者は、攻撃者がフィッシング攻撃にドメインを使用しているときにアラートを通知するCloudflareのようなサービスを使用することでセキュリティを確保することができます。

企業はゼロトラストセキュリティモデルを採用することで、ソーシャルエンジニアリング攻撃による被害を抑えることができます。このモデルを採用している企業に攻撃者が一度足場を築いても、ネットワークやシステムにさらに侵入することが非常に困難になります。企業がゼロトラストセキュリティを採用してソーシャルエンジニアリングから身を守る方法について、詳細をご覧ください。

 

よくある質問

ソーシャルエンジニアリング攻撃の定義とは？

ソーシャルエンジニアリング攻撃とは、ログイン情報や財務情報などの機密情報を提供させるために人を操る行為です。これらの攻撃は、対面、電話、メール、ソーシャルメディア、またはオンラインなどを経由して行われます。

ソーシャルエンジニアリング攻撃はどのように機能するのか？

ソーシャルエンジニアリング攻撃は、さまざまな手口で被害者の信頼を得て、望ましくない行動を取らせるように仕向けます。一般的な手口として、信頼できる当事者へのなりすまし、被害者に有益なものを提供する、または偽の状況を作り出して情報を入手すること（プリテキスティング）などが挙げられます。攻撃者は、貪欲、恐怖、好奇心といった感情に訴えかけて、被害者を行動に駆り立てることもあります。

ソーシャルエンジニアリング攻撃の例

ソーシャルエンジニアリング攻撃の例には、被害者の連絡先リストにある人物を装って悪意のあるリンクが記載されたメールを送信すること、偽のログインページを使用してユーザーのパスワードを盗むこと、または十分に保護された企業ネットワークに対してはサムドロップ（USBドロップ）攻撃を使用して標的にするなどが挙げられます。

ソーシャルエンジニアリング攻撃の防止方法は？

これらの攻撃に対する一般常識と最新知識を得ることが最善の防御策となります。不審な通信（連絡や会話）に注意し、メール内のリンクをクリックせずに信頼できるURLをブラウザに直接入力する、予期しないメッセージを受け取った場合は、機関やサービスプロバイダーに直接連絡してください。企業にとって、攻撃者がソーシャルエンジニアリングを用いてネットワークに足がかりを得た場合、Zero Trustセキュリティモデルを使用することで被害を封じ込めることができます。

ソーシャルエンジニアリング攻撃はビジネスにどのような影響を与えますか？

ソーシャルエンジニアリング攻撃は、高度標的型攻撃（APT）による大規模なサイバー攻撃の足掛かりとして使用されることがあります。攻撃者は1人の人物を侵害することで、その人物が所属する組織全体へのアクセスをより容易に得ることができます。ソーシャルエンジニアリング攻撃が成功すると、データの流出やランサムウェア感染などの攻撃につながる可能性があります。