ソーシャルエンジニアリングとは？主な手口8つや対策11選を解説

システム
エンジニア

ソーシャルエンジニアリングとは何ですか？

プロジェクト
マネージャー

ネットワークに入るためのパスワードなどの機密情報を、情報通信技術を駆使せずに盗み出してしまう方法のことを指します。

ソーシャルエンジニアリングとは？

ソーシャルエンジニアリングという言葉を耳にしたことがあるという方は、多いのではないでしょうか。しかし、何かの専門性があるエンジニアの名称という誤解があるかもしれません。

実はネットワークに入るためのパスワードなどの機密情報を、情報通信技術を駆使せずに盗み出してしまう方法のことを指します。

人の心理的な隙や、行動につけ込んだ卑劣なものが多いでしょう。今回は、ソーシャルエンジニアリングのさまざまな方法や対策についてご紹介します。

ソーシャルエンジニアリングのもたらす実害

ソーシャルネットワークは、実際にどのような例があるのかを見れば、理解することは可能です。例えば、とある総合病院に対して、何者かがソーシャルエンジニアリングを仕掛けた事例があります。

その際には、研修医の氏名や携帯電話番号などの、個人情報が漏洩してしまいました。そのため、病院側が関係者などに対して、謝罪の意を示したそうです。ソーシャルネットワークは、管理者側にも大きなダメージを与えかねません。

機密情報の流出

前述のとおり、ソーシャルエンジニアリングが行われることの実害には、機密情報の流出が挙げられます。氏名や電話番号などの個人情報や、外部に出してはいけない機密情報が流出してしまうと、流出した情報を使った二次被害も発生する可能性があります。

社会的信用の失墜

ソーシャルエンジニアリングによって顧客の個人情報などが流出した場合、企業や組織は社会的な信用を失ってしまうでしょう。さらに、その結果、売上の減少や株価の下落などが発生し、企業として経営が成り立たなくなる可能性もあります。

ソーシャルエンジニアリングは人間の隙を直接的に狙う

ソーシャルエンジニアリングは、主にインターネット上で、アクセスするためのパスワードやログイン情報などを、盗み取ってしまう違法行為です。これらは、当人の小さな行動のミスや、隙ができたときなどに、狙われやすくなるのではないでしょうか。

先述したように、ソーシャルエンジニアリングにはいくつかのパターンがあります。それらの事例などをよく確認して、対策をしておくようにしましょう。

ソーシャルエンジニアリングの主な手口8つ

世の中に対して、迷惑な行為をしているソーシャルエンジニアリングには、具体的にどのような手法があるのでしょうか。ここでは、ソーシャルエンジニアリングの主な方法についてご紹介します。

自分は絶対に引っかからないと思い込んでいる人ほど、実際に当事者になってしまうこともありえるかもしれません。

1：なりすまし電話・メール

電話による迷惑行為は、ご存知の人も多いのではないでしょうか。特に、お年寄りなどを中心に、その息子や娘になりすまして金銭などを盗むという手口は有名でしょう。

他にも、公的機関を装い、IDやパスワードなどに関する問い合わせをする場合もあります。なりすましは、電話だけではなくメールでも頻繁に行われています。

対策としては、折り返し連絡などで本人確認をすることや、本人として特定できない電話などの問い合わせには、絶対に応じないことが大切でしょう。

2：フィッシング詐欺

フィッシング詐欺は、相手を騙してパスワードやクレジットカード情報、社会保障番号、銀行口座番号といった、個人情報を入手するための不正手段です。サイバー詐欺師と呼ばれる人たちに用いられる手法といわれています。

偽メールを送信し、偽のウェブサイトへ誘導をするのが主な方法ではないでしょうか。その際には、合法的な組織の名をかたり、あたかも公式サイトが送信したように見せかけて、サイトに誘導するやり方が多いでしょう。

3：ショルダーハッキング

ショルダーハッキングとは、盗み見する行為のことです。肩越しに覗く動作に例えて、ショルダー（shoulder＝肩）ハッキングと称し、誰かがパスワードなどの重要な情報を入力している現場を、さりげなく覗き見てしまう方法です。

例えば、職場などで安全かと思われていた場所でも、特定の人物がパスワードを覗いて、知ってしまうということも考えられるでしょう。

4：トラッシング

トラッシングは、ゴミとして廃棄するつもりのものから、情報を探しあてて取得する方法です。スカベンジングとも呼ばれています。例えば、職場にて顧客リストを印刷しているとき、失敗した用紙を捨てたとします。

しかし、ごみ箱にそのまま破棄すると、いつ誰がその情報を入手するかわかりません。社外秘の内容を普通のゴミとして捨てる前に、第三者が判別できないよう工夫する必要があります。

5：バイティング

バイティングとは、そのまま訳すと「かみつく」という意味です。ソーシャルエンジニアリングでは、ネット上にて悪質なファイルなどを、ダウンロードさせるための方法を指します。

例えば、無料ダウンロードでプレゼントという商材を販売する方法がありますが、出所がよくわからないサイトからは、ダウンロードしないようにするとよいでしょう。

6：SNSの悪用

ソーシャルエンジニアリングの手口には、ターゲットのSNSを監視することで情報を把握する方法があります。また、中には偽のアカウントでターゲットに接触し、やり取りを行うことで不在のタイミングを把握し、空き巣に入るといった手口も存在します。

7：スケアウェア

スケアウェアとは、ターゲットが見ている画面上にウィルス感染を示唆する偽のポップアップなどを表示し、ターゲットの動揺を誘う方法です。また、違法コンテンツへのアクセスなどを装うこともあります。

8：構内侵入

構内侵入とは、実際に建物内に侵入して行われるソーシャルエンジニアリングです。オフィスなどへ侵入し、ゴミ箱の中身を漁ったりシステムへ侵入したりすることで、情報を盗み取ります。

ユーザーの油断をついたソーシャルエンジニアリングの巧妙な手段

ここまでご紹介したように、ソーシャルエンジニアリングにはさまざまな手法があり、その手法は年々巧妙化してきています。ここでは、ユーザーの油断をついたソーシャルエンジニアリングの巧妙な手段を紹介していきます。

緊急性を持たせる文言を用いる

メールを使ったソーシャルエンジニアリングでは、「至急確認」や「至急開封」、「重要」などの文言を用いることで緊急性を演出するケースがあります。緊急の内容であることをアピールすることで、ターゲットの動揺を誘います。

動揺や不審な動きをせず大胆に行動する

攻撃者はターゲットを陥れるために、時には大胆な行動や発言などを行うケースがあります。たとえば、オフィス内で攻撃者が構内侵入をしていたとしても、清掃業者や宅配業者の制服を着て堂々としていれば疑われないでしょう。

ソーシャルエンジニアリングの対策11選

さまざまな危険性があるソーシャルエンジニアリングは、どのような方法で回避すればいいのでしょうか。ここでは、ソーシャルエンジニアリングについての、効果的な対策についてご紹介します。普段から意識して、自分の身を守るように心がけてください。

1：メディアリテラシーを高めておく

メディアリテラシーとは、各種メディアを取り扱う際の、社会的な倫理観のことを指します。テレビや雑誌などのマスメディアはもちろん、インターネット上でのSNSなどを閲覧する場合の、情報の見極め方を学び続ける姿勢が大切でしょう。

例えば、好みの著名人や知人が発信する情報を、鵜呑みにしやすい傾向があります。それが情報として間違っていたとしても、信じ込んでしまい、気軽に拡散してしまうのではないでしょうか。情報を扱う際には、出所の信ぴょう性を判断するように、心がけましょう。

2：個人情報などはむやみに口にしない

口座番号や、クレジットカード番号について、もし電話やメールで問い合わせがきても、安易には伝えないようにしましょう。他にも、オンラインショッピングサイトやSNSでも同じです。

基本的に、銀行やカード会社、関連運営会社などから、いきなり電話やメールで機密情報を問い合わせがくることはあり得ません。もし情報の問い合わせが入ったら、ニセモノと判断するのがベターです。また、警察や弁護士を名乗るケースもあるため、注意しましょう。

3：シュレッダーを活用する

オフィスのゴミから機密情報を盗み出すトラッシングは、家庭ゴミよりも狙われやすいという特徴があります。なぜなら、オフィスのゴミは、比較的に生ゴミが少なく容易だからでしょう。

また、機密情報が狙われやい場所とされています。漏洩すると困る情報書類やメモ類の処理は、シュレッダーを活用し細かく粉砕して、捨てるようにしましょう。

4：URLを調べてからクリックする

ソーシャルエンジニアリングの中で、注意したいのはフィッシング詐欺です。機密情報漏洩で金銭的被害につながる可能性が高いからです。危機意識を高く持っておく必要があるでしょう。

また、フィッシング詐欺の場合、本物のサイトのURLに似たように文字列を使っているケースが多く見受けられます。見覚えがあったとしても、そこに記載されたURLを安易に開かないようにしましょう。まずは検索して、確認をしておくことがポイントです。

5：SNSに特定できるものを書かない

ハッカーなどの、悪用を目的とした人間は、ターゲットにする事物を特定するために、SNSの投稿などを監視し、その行動の傾向や趣味嗜好といった詳細な個人情報を、研究している可能性があります。

また、偽装アカウントで接触して、相手を信用させたうえで情報を盗んだり、場合によっては自宅を選定し、空き巣やストーキングをしたりするなど狡猾な手口まで使うことがあります。

ソーシャルエンジニアリング対策としては、SNS上に個人や家族を特定できるような情報を載せないことが大切でしょう。

6：ソフトウェアなどを新しい状態にする

パソコンやスマートフォンなどは、入力した情報を内部のソフトウェアが処理しながら稼働します。しかし、コンピュータのソフトウェアや、Webブラウザ、メールの送受信に使うメールソフトなどは、時間の経過によって脆弱性という不具合が生じる可能性があります。

その修正のためのプログラムは、各メーカーから配布されますが、ソーシャルエンジニアリング対策としては、プログラムを新しい状態に保つことが大切でしょう。

7：ログイン情報やパスワードなどの取り扱いをルール化する

ソーシャルエンジニアリング対策として、ログイン情報やパスワードについて、独自の管理方法を確立しましょう。不正アクセスの可能性があるパスワードなどは見直し、自分だけのルールを作っておくことで、さまざまなやり口で迫ってくるソーシャルエンジニアリングを、防止することも可能です。

例えば、重要なパスワードは公言しないといったルールを徹底しておくことで、よりソーシャルエンジニアリング対策の意識も高まるのではないでしょうか。

8：送信者やドメインを確認する

メールの送信者やドメインは、よく確認してからメールを開くようにしましょう。一見して有名企業やECサイトのドメインに見えても、微妙に異なっているケースもあります。また、フリーアドレスのメールにも注意しましょう。

9：セキュリティゲートの設置

オフィスなどに外部の人間が出入りする場合は、セキュリティゲートを設置しましょう。また、入退出する場合の氏名や連絡先の記入、入退出の記録などを行い、厳重に管理することをおすすめします。

10：生体認証システムの導入

生体認証システムとは、「指紋」や「虹彩」、「静脈」、「顔」などの本人固有の情報によって認証を行うことです。生体認証システムを導入すれば、不審者を完全にシャットアウトすることができるでしょう。ただし、外部の人間が常に出入りする場合には不向きです。

11：離席時はPC画面ロックの設定

使っていたパソコンの画面を離席時にそのままにしてしまうと、誰かが情報を盗むかもしれません。離席時のショルダーハッキングなどのソーシャルエンジニアリングを防止するためにも、席を離れる際には必ずパソコンにロックをかけるようにしましょう。

システム
エンジニア

自分たちのちょっとしたミスで機密情報が盗まれてしまうのですね。

プロジェクト
マネージャー

そうですね。メディアリテラシーを高めるなどして危機意識を高める必要があります。

ソーシャルエンジニアリングの理解を深めてしっかり対策しよう

ソーシャルエンジニアリング対策というのは、何か特別に難しいことを設定する必要はありません。ただし普段からこまめにチェックをして、少しでも不可解なサイトやURLなどには、クリックしないという基本を守ることが大切です。

また、よりよい対策方法は、落ち着いて冷静に対応することではないでしょうか。今回の内容を参考にしながら、ソーシャルエンジニアリングの詐欺から身を守れるように、心がけましょう。