ソーシャルエンジニアリング (ソーシャルエンジニアリング) とは | 意味や読み方など丁寧でわかりやすい用語解説
ソーシャルエンジニアリング (ソーシャルエンジニアリング) の読み方
日本語表記
人的欺瞞 (ジンテキギマン)
英語表記
Social engineering (ソーシャルエンジニアリング)
ソーシャルエンジニアリング (ソーシャルエンジニアリング) の意味や用語解説
ソーシャルエンジニアリングとは、コンピュータシステムやネットワークに直接的な技術的攻撃を行うのではなく、人間の心理的な隙や行動のミスを巧妙に利用して、機密情報や認証情報を不正に入手したり、システムへのアクセス権を奪ったりするサイバー攻撃の一種である。この言葉は「社会工学」を意味するが、情報セキュリティの分野では悪意のある文脈で用いられ、特に人間に焦点を当てた攻撃手法を指す。攻撃者は、信頼、好奇心、恐怖、権威への服従、助けたいという感情など、人間のさまざまな心理を操作し、ターゲットに自ら情報を提供させたり、セキュリティ上の危険な行動を取らせたりする。標的が持つ技術的な知識の有無に関わらず、誰でも被害者になりうるため、情報セキュリティ対策において技術的な防御策と同じくらい、あるいはそれ以上に重要な要素として認識されている。 ソーシャルエンジニアリングがなぜ危険なのか、その理由は、どんなに強固なファイアウォールや最新のアンチウイルスソフトウェア、厳重なアクセス制御システムを導入していても、「人間」という最も弱いリンクを狙うため、それらの技術的な防御策だけでは防ぎきれない点にある。システムやソフトウェアの脆弱性を突くのではなく、人間の判断力、警戒心、注意力といった心理的な側面や、組織のルール、文化といった社会的な側面を悪用する。人が騙されて認証情報を提供してしまえば、システムは正当なアクセスと判断してしまい、攻撃者の侵入を許してしまう。また、攻撃を受けていることにターゲットが気づきにくい場合も多く、被害が拡大するまで発覚しないこともある。 具体的な手口は多岐にわたる。最も代表的なものの一つに「フィッシング」がある。これは、金融機関や有名企業、公的機関などを装った偽のメールやウェブサイトを作成し、「アカウントがロックされます」「不正利用の疑いがあります」「最新情報を更新してください」といった緊急性や重要性を装うメッセージでユーザーを誘導し、ユーザー名、パスワード、クレジットカード情報などの個人情報や認証情報を詐取する手法だ。巧妙に作られた偽サイトは、正規のサイトと見分けがつかないほど精巧な場合もあり、ユーザーは焦りや不安から、誤って情報を入力してしまう。 「プリテキスティング(なりすまし)」もよく用いられる手口である。攻撃者がITサポート担当者、顧客、上司、同僚、あるいは宅配業者など、ターゲットが信頼しやすい、あるいは関わりがある人物になりすまし、正当な理由や口実(プリテキスト)を設けてターゲットに接触し、情報を引き出す。例えば、ITサポート担当者を装い、「システムアップデートのためパスワードが必要です」と電話で尋ねたり、同僚を装って「資料を送りたいのでメールアドレスを教えてほしい」と連絡したりするケースがある。 「ショルダーハッキング(肩越し盗み見)」は、物理的な距離を利用した手口である。公共の場所やオフィスで、他人のコンピューター画面やスマートフォンを肩越しに覗き見たり、ATMやPOSレジでのPINコード入力時などを盗み見たりして、パスワードや機密情報を盗む。これは特別な技術を必要としないため、誰でも簡単に実行できる可能性があり、注意が必要である。 「トラッシング(ゴミ漁り)」は、企業や個人のゴミ箱から、機密文書、メモ、古いハードディスク、USBメモリなどを探し出し、情報源として利用する手法だ。破棄された情報の中には、アカウント情報、システム構成図、顧客リスト、従業員名簿など、攻撃者にとって価値のある手がかりが含まれていることがある。 「ベイト(誘惑)」は、「無料のUSBメモリ」や「限定コンテンツへのアクセス」など、魅力的な誘惑を仕掛けて、標的を危険な行為に誘導する手口だ。例えば、マルウェアを仕込んだUSBメモリをオフィス周辺にわざと放置し、誰かが拾って自身のPCに接続し、中身を開こうとするのを待つ。好奇心やお得感を利用して、被害者自らマルウェアを実行させてしまうのである。 「スケアウェア(恐怖)」は、偽のウイルス感染警告や、システム障害を装うメッセージをポップアップ表示させ、ユーザーを不安に陥らせて、不要なセキュリティソフトウェアの購入や個人情報の入力を促す手口だ。ユーザーはパニックに陥り、指示に従ってしまうことが多い。 これらの手口から身を守るためには、技術的な対策だけでなく、個人と組織全体での意識向上と教育が不可欠である。最も重要な対策は、ソーシャルエンジニアリングの手口や危険性について、従業員全員が定期的な教育を受け、常に意識を高めることだ。不審なメールや電話、ウェブサイトには常に警戒心を持つ習慣を身につける必要がある。 情報共有に関するルールの徹底も重要である。組織内で、どの情報が機密情報であり、誰と、どのようなチャネルで共有すべきかというルールを明確にし、遵守させる。安易な情報共有や、SNSなどでの不用意な情報公開を避けるよう徹底する。 パスワード管理の徹底も基本中の基本である。推測されにくい複雑なパスワードを設定し、定期的に変更する。また、パスワードを他人に教えたり、付箋などに書き残したり、PCの近くに保管したりしない。可能であれば多要素認証を導入し、認証の強度を高めることで、仮にパスワードが漏洩しても不正アクセスを防ぐ確率が高まる。 不審な要求があった場合の確認を怠らないことも重要だ。メールや電話で個人情報や機密情報を求められた場合、その要求が正当なものか必ず別途の手段(公式のウェブサイトで確認、既知の電話番号への発信など)で確認する習慣をつける。慌てて対応せず、一度立ち止まって考えることが被害を防ぐ第一歩となる。 物理的なセキュリティ対策もソーシャルエンジニアリング対策の一環となる。オフィスへの部外者の入退室管理を徹底し、物理的な侵入を防ぐ。また、機密文書は適切に破棄(シュレッダー利用など)し、PC画面には覗き見防止フィルターを使用するなど、情報が視覚的に盗み見られるリスクを減らす対策も有効である。 システム側の対策と連携することも忘れてはならない。スパムメールフィルタリングや不正アクセス検知システムなど、技術的なセキュリティ対策は、ソーシャルエンジニアリングによって引き起こされる被害を検知したり、拡大を防いだりする上で依然として重要な役割を果たす。従業員のセキュリティ意識向上と、これらの技術的対策を組み合わせることで、より強固な防御体制を築くことができる。ソーシャルエンジニアリングは常に進化する脅威であり、私たち一人ひとりがその手口を理解し、警戒心を持つことが、情報社会を守る上で不可欠なのである。