ソーシャルエンジニアリングとは?大切な情報と財産を守る対策集

  • このエントリーをはてなブックマークに追加

ソーシャルエンジニアリングについて、このような疑問をお持ちではありませんか?

  • どんな手口がある?
  • どんな被害が発生している?
  • 自分が被害に遭うと、どうなる?

ソーシャルエンジニアリングという言葉だけだと、あまり自分自身のことのように感じられないかも知れませんが、ソーシャルエンジニアリングの被害事例である「振り込め詐欺」「フィッシング詐欺」というといかがでしょうか。ソーシャルエンジニアリングが人を狙った犯罪行為であることをリアルに感じられるのではないでしょうか。

ソーシャルエンジニアリングには主に、個人を狙ったものと企業を狙ったものがあります。この記事では、ソーシャルエンジニアリングとは何かという基本的な知識から、個人と企業それぞれの有効な対策を解説します。大切な財産を犯罪者に騙し取られることがないよう、しっかりと対策を身につけてください。

目次:

1. あなたの機密情報を脅かすソーシャルエンジニアリングとは?
・1-1.ソーシャルエンジニアリングとは?
・1-2.ソーシャルエンジニアリングの主な手口
・1-3.リバースソーシャルエンジニアリングの概要と手口
・1-4.犯罪者の目的
・1-5.マルウェアやスパイウェアなどではない点に注意
・1-6.本人だけでなく周辺の人も狙われる
2.個人を狙ったソーシャルエンジニアリング対策
・2-1.銀行やカード会社を騙るメールのURLに安易にアクセスしない
・2-2.IDやパスワードの入力画面が本物であるかチェックする
・2-3.電話などで機密情報を尋ねられても安易に教えない
・2-4.身内を騙る不審な電話では必ず本人確認を
3.企業を狙ったソーシャルエンジニアリング対策
・3-1.電話で機密情報を尋ねられても即答せず折り返す
・3-2.オフィス内に機密情報を貼り出さない、放置しない
・3-3.ミスコピー、使用済みの書類の廃棄はルールを設ける
・3-4.記録メディア、ハードディスクの処理は適切に
・3-5.人に入退出を適切に管理する
4.まとめ

1. あなたの機密情報を脅かすソーシャルエンジニアリングとは?

1-1.ソーシャルエンジニアリングとは?

ログイン情報などの重要な機密情報を、ネットワークなどを経由して盗み出すのではなく、盗み見やなりすましによる聞き出しなど、アナログな方法を使って盗み出す行為を、ソーシャルエンジニアリングといいます。

代表的なものとしてはログイン画面の盗み見(ショルダーハッキング)やごみの中からパスワードなどが書かれたメモを探す(トラッシング)などがあります。

セキュリティソフトの導入やネットワークの監視など、技術的な防御策とは全く別の次元での対策が必要となり、ソーシャルエンジニアリングというリスクが存在することを多くの人が正しく知っておくことが重要です。

1-2.ソーシャルエンジニアリングの主な手口

1-2-1.フィッシング詐欺

銀行やカード会社、有名なネットサービスなどのログイン画面とそっくりのページを作り、そこに入力したログイン情報を盗み取るというのがフィッシング詐欺です。

偽のログインページを作り、そこに情報を入力させるというのは人間を標的とした攻撃なので、ソーシャルエンジニアリングに分類されます。

フィッシング詐欺は被害に遭ってから気づく(勝手に預金が引き出されるなど)ところが悪質なので、「フィッシング詐欺まとめ | 被害・実例・対策」も併せてお読みいただき、しっかりと対策をしておきましょう。

1-2-2.振り込め詐欺

身内や職場の人など、標的となっている人の身近な人を騙り、現金を振り込ませようとする詐欺が依然として後を絶ちません。振り込め詐欺の場合はもっぱら電話が騙しのツールとして使用されるため、インターネットを利用していない人であってもリスクがなくなるわけではありません。

特に高齢者が狙われる傾向が強く、「人」を狙うソーシャルエンジニアリングの中でも巧妙化、悪質化が進んでいるので要警戒です。

1-2-3.警察、管理者などを騙り電話で聞き出す

警察から「あなたのログイン情報がハッキングされました」という電話があったとします。「確認を取りたいのでIDとパスワードを教えてください」と言われたら、どうしますか?これが攻撃者によるなりすましで、IDとパスワードを教えてしまったらどうなるかは、言うまでもないと思います。

警察だけでなく、ネットワークやサービスの管理者、運営者を騙って電話を掛けてくる手口もあります。

1-2-4.郵送やアンケートを装って記入させる

個人情報の確認やアンケートという形で文書を郵送し、そこに記入させるというソーシャルエンジニアリングの手口もあります。ソーシャルエンジニアリングの特徴は技術的なものではなく人間の心理を突くことであり、郵送されてきた文書ということで受け取った人の警戒心を解くという目的も隠されています。

1-2-5.他人のモニター画面などを盗み見する

非常に原始的ですが、今も横行している手口です。肩越しに情報を盗み取るため、「ショルダーハッキング」とも呼ばれています。職場で他人のパソコンで入力している情報を盗み見する事例だけでなく、最近ではスマホを操作している人の手元を盗み見してロック解除のパスコードやパターンを盗み見するという事例も多くなっています。

1-2-6.捨てられたゴミから情報を盗み出す

パスワードなどの機密情報が書かれたメモ紙をごみ箱にそのまま捨てると、攻撃者は捨てられたごみを漁ってメモ紙を見つけ出そうとするかも知れません。この手口は「トラッシング」と呼ばれ、特定の組織を狙う場合によく用いられている手口です。

メモ紙だけでなく、CDやDVD、USBメモリなどの記憶媒体も対象となるため、ごみの捨て方にもセキュリティ意識が必要になります。

1-3.リバースソーシャルエンジニアリングの概要と手口

ソーシャルエンジニアリングへの周知徹底が進むにつれて、巧妙化の一環として登場したのがリバースソーシャルエンジニアリングです。ソーシャルエンジニアリングの手口によく用いられる電話を標的に掛けるのがソーシャルエンジニアリングであるのに対し、標的に電話を掛けさせて機密情報を盗み出そうとするのがリバースソーシャルエンジニアリングです。

「サポート電話の番号が変更になりました」といった意味合いの告知をして、偽の番号に電話を掛けさせ、標的となった人が自ら電話を掛けていることで生まれる安心感を突いて情報の盗み出しをするのがとても巧妙です。

このほかにも偽のホームページや偽の名刺を使ってリバースソーシャルエンジニアリングを仕掛ける手口もあります。

1-4.犯罪者の目的

ソーシャルエンジニアリングを仕掛ける攻撃者、犯罪者の目的は金銭です。ネットバンキングやカード会社の管理画面などの情報を狙うことが多いのも、金銭的な利益を得るのに直接関わっているからです。振り込み詐欺や架空請求なども同様で、標的となった人から金銭を騙し取るのが目的です。

1-5.マルウェアやスパイウェアなどではない点に注意

ソーシャルエンジニアリングは人を狙ったものであり、マルウェアやスパイウェアなどを使ってサーバーやネットワーク、コンピューターなどを狙うものではないことが大きな特徴です。つまり、セキュリティの技術がどれだけ進歩したとしても人間が騙されてしまうこととは別次元なので、「セキュリティソフトを入れているから大丈夫」ということにはならない点に注意が必要です。

騙されるのも、それを防ぐのも自分であるという意識をしっかりと持ちましょう。

1-6.本人だけでなく周辺の人も狙われる

ソーシャルエンジニアリングには、自分だけが注意していても周囲の人から情報が漏れる恐れがある、という特性があります。職場や家族、親しい人などが知り得る個人情報や機密情報を、本人からは聞き出せそうにない場合に狙われるのが身近な立場にある人です。

標的となっている人の妻や両親に電話が掛かってきて、その本人が勤めている会社の担当者を名乗っている場合、ついつい本人の機密情報を答えてしまうこともあるのではないでしょうか。振り込め詐欺もこうした手口の典型例なので、自分だけが注意をしていても周辺の人から情報が漏れる可能性があるということも、ソーシャルエンジニアリングの特性として認識しておくべきでしょう。

2.個人を狙ったソーシャルエンジニアリング対策

2-1.銀行やカード会社を騙るメールのURLに安易にアクセスしない

個人の方が注意したいのは、やはりフィッシング詐欺です。機密情報が漏れることで金銭的な被害につながる可能性が高いため、自分のお財布を管理するのと同程度、もしくはそれ以上の危機意識が必要です。

フィッシング詐欺まとめ | 被害・実例・対策」でも注意喚起していますが、本物のURLによく似た紛らわしい文字列を使っていたりすることもあるので、口座を持っていない銀行ならもちろんのこと、口座を持っている銀行などを名乗るメールが届いても、そこに記載されているURLを確認せず安易にアクセスしないようにしましょう。

2-2.IDやパスワードの入力画面が本物であるかチェックする

前項のように銀行やカード会社を名乗るメールでフィッシングサイトに誘導するのはよくある手口なので、IDやパスワードの入力を求める画面が表示されても、まずはそれが本物であるかの確認をしましょう。

フィッシング詐欺に関する注意点は「これで騙されない! 今すぐできるフィッシング詐欺対策」に詳しい解説とチェック項目があるので、こちらも併せてお読みください。

2-3.電話などで機密情報を尋ねられても安易に教えない

銀行の口座番号やクレジットカード番号を、銀行やカード会社の担当者が電話で問い合わせてくることは絶対にありません。その他にもオンラインショッピングサイトやSNSについても同様で、運営会社から電話やメールで機密情報を問い合わせてくることもありません。

つまり、こうした情報の問い合わせが電話やメールなどで入ったとしたら、それはニセモノです。警察や弁護士などを名乗るケースもありますが、それもニセモノと考えて良いでしょう。しつこく聞き出そうとする場合は、「こちらから掛けなおすので電話番号を教えてほしい」と言えば、その電話番号が本物ではないことがすぐに分かるので撃退できます。

2-4.身内を騙る不審な電話では必ず本人確認を

振り込め詐欺の典型的な手口として、身内を名乗って金銭を振り込ませたり宅配便で送らせたり、というものがあります。

こうした手口への対策は警察も被害防止のために啓蒙活動を行っていますが、最も大切なのは本人確認です。その身内を名乗る人物が本物なのかどうかを判別するために、合言葉を決めておく方法が推奨されています。

その他にも、本人の携帯電話や職場の電話にかけてみるなど、本人であることが確定するまでは相手の言いなりになってお金を振り込んだり送ったりは絶対にしないようにしましょう。

警察庁がこうした被害を防ぐために「特殊詐欺にだまされないために」というサイトで事例に基づいた対策集がまとめられているので、こちらも参考になります。

⇒ 特殊詐欺にだまされないために(警察庁)

3.企業を狙ったソーシャルエンジニアリング対策

3-1.電話で機密情報を尋ねられても即答せず折り返す

企業を狙ったソーシャルエンジニアリングでよくあるのは、システムやネットワーク管理者などを名乗り、社員のログイン情報などを聞き出す手口です。会社組織であることを悪用して上司を名乗る場合も見られ、この場合は上下関係も影響してついつい情報を教えてしまうという事例が続発しています。

システムやネットワークの管理者が電話でこのような情報を聞き出すことはまずないので、その場合は即答をせず電話を折り返して回答するようにしましょう。上司を名乗る電話であっても同様で、上司であることを理由に情報を無理やり聞き出そうとしてきたとしても、ソーシャルエンジニアリングの防止を理由に折り返すという姿勢を貫くことが重要です。仮に本物の上司がこのような電話を掛けてくるのはセキュリティ上大きな問題なので、社内のセキュリティポリシーを見直す契機となるかもしれません。

3-2.オフィス内に機密情報を貼り出さない、放置しない

たくさんのパスワードを覚えきれないのでモニターの周辺に付箋で貼ったり、デスクマットの下にメモ紙を入れたりするケースはとても多いですが、これはソーシャルエンジニアリングのリスクを高める行為です。

清掃員になりすまして社内に入ってきた何者かがこうした情報を目にすることが可能になるので、機密情報を他の人が目にする場所に貼り出したり、放置しないようにしましょう。自分以外の人が目にすることができる時点で機密情報の意味がなくなってしまいます。

3-3.ミスコピー、使用済みの書類の廃棄はルールを設ける

オフィスから出されたごみを漁り、そこから機密情報を盗み出すことをトラッシングといいます。家庭から出されたごみと比べてオフィスのごみは生ごみの割合が非常に少ないかほぼ無いため物理的に漁りやすく、その一方で機密情報が捨てられている可能性が高いことから狙われやいとされています。漏洩してはいけない情報が記載された書類やメモ紙の処理には十分注意しましょう。

機密書類廃棄のために会社が設けた特別なゴミ箱を使用したり、シュレッダーをかけてから捨てることが基本です。

3-4.記録メディア、ハードディスクの処理は適切に

トラッシングの被害は紙媒体での情報だけではなく、CDやDVD、USBメモリといった記録メディアについても同様です。しかもこうした記録メディアは保存できる情報量の桁が違うので、漏洩した時のダメージも大きくなります。

ハードディスクを処分する時のリスク管理については比較的浸透していますが、日常的に捨てる機会が多いCDやDVDといった記録メディアについても破砕してから捨てるなどの対策が必要です。

万が一に備えて、ファイルにパスワードを設定しておくことも基本中の基本です。

 3-5.入退出を適切に管理する

ショルダーハッキングは、不特定多数の人がオフィス内に出入りすることで起きます。社員の出入りはもちろんのこと、社員以外の不特定多数の人が出入りできるようなオフィス環境はセキュリティ上問題があると言えます。

特に顧客情報など重要な機密情報を取り扱うような企業であればなおさらで、プライバシーマークの取得に人の入退出管理が義務付けられていることからも、ソーシャルエンジニアリングへの対策が考慮されていることが分かります。

4.まとめ

システムやネットワークなど技術的な盲点を突いた攻撃を防ぐことに対する関心はとても高いのですが、それとは別次元の人の心理や隙を突いたソーシャルエンジニアリングについては危機感がそれほど浸透していない感があります。

振り込め詐欺やフィッシング詐欺など、人の心理に付け込んだ被害が依然として多く発生していることからも、その傾向が窺えます。

セキュリティソフトの導入など技術的な防御策はもちろん重要ですが、それと同じく「自分の情報や財産は自分で守る」という意識を持ってソーシャルエンジニアリングに騙されることのないようにすることも重要です。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

ノートンセキュリティは30日間(最大60日間)無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。



2ヶ月間の無料体験版
ノートンセキュリティの魅力とは?