情報セキュリティといえばシステムやネットワークの脆弱性等に目が行きがちですが、それらを利用する人間もまた弱点を持っています。本稿ではシステムの利用者の隙をついた攻撃であるソーシャルエンジニアリングについて解説します。

総務省が公開しているサイト[1]では、ソーシャルエンジニアリングについて次のように定義しています。

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワード等の重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

システムの脆弱性を突いたり、ネットワークに侵入することなく、システムの利用者から直接情報を窃取する方法であると言えるでしょう。

ここではソーシャルエンジニアリングの手法を紹介します。

電話またはメールによるなりすまし

勤務先の上司や金融機関等になりすまし電話やメールによりターゲットと接触し、情報を聞き出す手法です。

実例として、2021年1月中旬、奈良県に対し自治医科大学医学部卒業生を名乗る人物から、同大医学部卒業生の連絡先についての問い合わせがあり、誤って情報を提供してしまったという事件[2]が挙げられます。また、情報流出は発生していないものの、なりすましの例として、ポーランドのドゥダ大統領に対しフランスのマクロン大統領であると偽った電話があり、数分間会話を行ってしまったというニュース[3]もありました。

なりすましの手口は巧妙化しており、上記のように見破るのは困難になってきています。対策として、たとえ上司や取引先であっても電話やメールではパスワード等重要な情報を提供しないといったルール決めが必要であると考えられます。

フィッシングサイトやバックドアによる標的型攻撃

情報を抜き取るためのサイトに誘導したり、有用なプログラムに見せかけて情報を外部へ流出させる挙動をするものをインストールさせることで、情報の窃取を行います。

フィッシングサイトについては当サイト記事「身近に潜む脅威！フィッシング詐欺被害を未然に防ぐ対策とは」でも解説しています。

ショルダーハッキング

いわゆる「のぞき見」のことで、パスワード等重要情報を入力しているところやその画面表示内容をユーザーの肩越しに背後から覗き見ることで、情報の窃取を行います。

対策として、カフェ等公共の場所で重要情報を表示しない・入力しないといったことが考えられます。

トラッシング/スキャベンジング

いわゆる「ゴミ漁り」のことで、パスワード等重要情報が載っている印刷物等を廃棄物から拾うことで、情報の窃取を行います。

対策として、重要情報を印刷物やメモ書きとして残さない、書類を廃棄する場合は必ずシュレッダーにかけるといったことが考えられます。

その他

実際にオフィス等に侵入し、放置されている書類やモニターに貼付されている付箋等から情報を盗み見るといった手法もソーシャルエンジニアリングと言えます。このようなことを防ぐために、パスワード等重要情報を紙に書いて残さない、クリアデスクといって書類を机上に放置しないといったことを徹底する必要があります。

またメールやSNS等でターゲットに近づき、親しくなったうえで情報を引き出すといったスパイ映画のような手法もソーシャルエンジニアリングの一例です。

ソーシャルエンジニアリングは、ランサムウェアによる攻撃等大規模な標的型攻撃の初期の侵入手法として用いられることがあり、決して軽視できるものではないと言えます。

人間の隙をついた攻撃であるため、システムでは完全に防ぎきれない怖さがあります。危険なメール等はシステムで排除しながら、同時に訓練等の教育を進めていく必要があります。