ソーシャル・エンジニアリングとは、人間関係を利用してユーザーを騙し、標準的なセキュリティ手順を破らせるセキュリティ攻撃です。攻撃者は、ソーシャル・エンジニアリングのテクニックを使って、パスワードや銀行口座番号などの機密情報を漏らすように人を操ります。

ソーシャル・エンジニアリングの歴史

ソーシャル・エンジニアリングは何世紀にもわたって存在してきたが、1980年代までこの言葉は使われていなかった。最も早く記録されたソーシャル・エンジニアリング攻撃のひとつは 1851年の大金塊デマこの事件では、2人の男がシエラネバダ山脈で金を発見したとサンフランシスコの人々に信じ込ませた。この二人の男は、サンフランシスコの人々にシエラネバダ山脈で金を発見したと信じ込ませた。 「鉱業会社 そして金を持ち逃げした。

ソーシャル・エンジニアリングの種類

ソーシャル・エンジニアリング攻撃にはさまざまな種類があるが、ここでは最もよく使われる10の攻撃について見ていこう：

1.フィッシング

フィッシングとは、ソーシャルエンジニアリング攻撃の一種で、電子メールやテキストメッセージを使ってユーザーを騙し、悪意のあるリンクや添付ファイルをクリックさせるものです。攻撃者は、被害者の信頼を得るために、銀行や政府機関など、信頼できる団体を装うことがよくあります。被害者がリンクや添付ファイルをクリックすると、悪意のあるウェブサイトにリダイレクトされたり、コンピュータがマルウェアに感染したりします。 

2.口実

プレテクストとは、ソーシャル・エンジニアリング攻撃の一種で、攻撃者が偽のシナリオを作り、被害者から個人情報を入手することです。例えば、攻撃者がカスタマーサービス担当者を装って被害者に電話をかけ、次のようなことを要求します。 "検証" の口座情報を盗む。その後、攻撃者は被害者の個人情報を使って、被害者の口座にアクセスしたり、他の犯罪を犯したりする。 

3.餌付け

おとり攻撃とは、ソーシャル・エンジニアリング攻撃の一種で、攻撃者がUSBドライブなどの物理的なデバイスを公共の場に置いておくことです。このデバイスには通常、マルウェアや悪意のあるリンクが含まれている。被害者がそのデバイスを見つけ、コンピュータに接続すると、システムはマルウェアに感染します。 

4.クイド・プロ・クオ

見返りとは、ソーシャル・エンジニアリング攻撃の一種で、攻撃者が被害者に個人情報やシステムへのアクセスと引き換えに何かを提供することです。例えば、攻撃者がITサポート担当者を装って、次のような提案をすることがあります。 "修正" 攻撃者は、被害者のコンピュータにリモートアクセスすることで、被害者のコンピュータを攻撃する。攻撃者がシステムにアクセスできるようになると、マルウェアをインストールしたり、機密情報を盗んだりできるようになる。 

5.ダンプスター・ダイビング

ダンプスター・ダイビングとは、ソーシャル・エンジニアリング攻撃の一種で、攻撃者がゴミ箱やゴミ箱をあさり、捨てられている機密情報を探し出すことである。この情報は、システムへのアクセスやその他の犯罪に利用される可能性がある。 

6.ショルダーサーフィン

ショルダー・サーフィンとは、攻撃者が被害者がコンピューターやATMにパスワードや暗証番号を入力するのを観察するセキュリティ攻撃である。攻撃者は、この情報を使って被害者の口座にアクセスしたり、他の犯罪を犯したりすることができる。 

7.尾行

尾行とは、攻撃者が被害者をオフィスビルや駐車場などの安全な場所に尾行するソーシャル・エンジニアリング攻撃の一種である。攻撃者はその後、被害者のアカウントにアクセスしたり、その他の犯罪を実行したりすることができる。 

8.ビッシング

ビッシングとは、ソーシャル・エンジニアリング攻撃の一種で、音声通話やテキスト・メッセージを利用して被害者を騙し、機密情報を漏えいさせるものです。攻撃者は多くの場合、被害者の信頼を得るために、銀行や政府機関など信頼できる団体を装います。被害者が要求された情報を攻撃者に提供すると、攻撃者はその情報を使って被害者の口座にアクセスしたり、その他の犯罪を実行したりする。 

9.水飲み場

水飲み場はソーシャル・エンジニアリング攻撃の一種であり、攻撃者は被害者が頻繁に利用するウェブサイトを侵害する。攻撃者は、被害者のコンピュータをマルウェアに感染させたり、ウェブサイトを訪問した際に機密情報を盗んだりします。 

10.捕鯨

ホエーリングとは、CEOや有名人など、知名度の高い個人を標的にしたセキュリティ攻撃である。被害者の信頼を得るため、攻撃者は多くの場合、銀行や政府機関など信頼できる組織を装います。被害者が要求された情報を攻撃者に提供すると、攻撃者はその情報を使って被害者のアカウントにアクセスしたり、その他の犯罪を実行したりする。 

ソーシャル・エンジニアリングの手口

ソーシャル・エンジニアが被害者を騙すために使う手口はたくさんあるが、最も一般的なものをいくつか挙げる：

• なりすまし：これらのサイバー犯罪者は、被害者の信頼を得るために、カスタマーサービス担当者など信頼できる人物を装うことがよくあります。

• 権威：彼らはしばしば権威ある立場を利用して、被害者に自分の要求に従うよう説得する。

• 脅迫：ソーシャル・エンジニアは、被害者のアカウントを停止すると脅すなど、脅迫的な手口を使って要求に従わせることがあります。

• お世辞：サイバー犯罪者は、被害者の信頼を得るために、しばしばお世辞を言おうとする。

• 希少性：商品やサービスの供給に限りがあると主張することで、切迫感を煽ることが多い。

ソーシャル・エンジニアリング攻撃の例

• 2017年のエクイファックス情報流出

2017年、信用調査機関Equifaxがデータ漏洩に見舞われ、1億4,000万人以上の個人情報が流出した。攻撃者はEquifaxのシステムにアクセスするためにフィッシングとして知られるソーシャルエンジニアリング攻撃の一種を使用した。攻撃者がシステムにアクセスすると、社会保障番号やクレジットカード番号などの機密情報を盗むことができた。

• 2016年アメリカ大統領選挙

2016年、ロシア政府はソーシャル・エンジニアリング攻撃を使ってアメリカ大統領選挙を妨害した。攻撃者は一種のフィッシング攻撃を使って、ヒラリー・クリントン選挙対策委員長のジョン・ポデスタのメールアカウントにアクセスした。その後、攻撃者はメールの内容を公開し、クリントン氏の大統領選挙キャンペーンに損害を与えた。

• 2017年WannaCryランサムウェア攻撃

2017年、WannaCryランサムウェア攻撃は150カ国の20万台以上のコンピュータに影響を与えた。攻撃者はフィッシングとして知られるソーシャルエンジニアリング攻撃を使って被害者を騙し、悪意のあるリンクをクリックさせた。被害者のコンピュータがランサムウェアに感染すると、攻撃者はファイルを復号化するための身代金を要求した。

• 2018年フェイスブック・データ流出

2018年、ソーシャルメディア大手のフェイスブックがデータ漏洩に見舞われ、8700万人以上の個人情報が流出した。攻撃者はフェイスブックのシステムにアクセスするため、フィッシングとして知られるソーシャルエンジニアリング攻撃を使用した。攻撃者はいったんシステムにアクセスすると、氏名、電子メールアドレス、電話番号などの機密情報を盗むことができた。

• 2018年のインスタグラム・ハック

2018年、写真共有アプリのインスタグラムがハッキングされ、600万人以上のユーザーの個人情報が流出した。攻撃者はフィッシングと呼ばれるソーシャルエンジニアリング攻撃を使ってインスタグラムのシステムにアクセスした。攻撃者がシステムにアクセスすると、名前、メールアドレス、電話番号などの機密情報を盗むことができた。

ソーシャル・エンジニアリング・アタックを成功させる6つのステップとは？

1. 調査： 攻撃者はターゲットとなる組織とその従業員を調査し、可能な限り多くの情報を収集する。
2. 計画：攻撃者は、調査段階で収集した情報を考慮して攻撃を計画する。
3. 実行：攻撃者は、計画した手法やテクニックを使って攻撃を実行する。
4. 配信：攻撃者は、マルウェア、機密情報、認証情報などのペイロードを配信する。
5. コントロール： 攻撃者は、獲得した情報やアクセスを使用して、システムやアカウントを制御する。
6. 隠蔽： 攻撃者はその痕跡を隠し、攻撃を検知して攻撃者を突き止めることを困難にする。

よくある質問

ソーシャル・エンジニアリングはどのように機能するのか？

ソーシャル・エンジニアリングとは、人間の相互作用に依存し、ユーザーを騙して標準的なセキュリティ手順を破らせる攻撃の一種である。攻撃者は、ユーザーの信頼を得るように働きかけ、その信頼を利用して、攻撃者がシステムにアクセスできるようにユーザーに何かをさせる。

ソーシャル・エンジニアリングはどの程度深刻か？

ソーシャル・エンジニアリングは様々な目的を達成するために使われるが、最も頻繁に使われるのはシステムやデータへのアクセスを得るためである。攻撃者が一旦システムにアクセスすると、自分たちの利益のためにそれを悪用することができる。その結果、データの損失、金銭的損失、さらにはシステムへの損害が発生する可能性があります。

最も一般的なソーシャル・エンジニアリングとは

ソーシャル・エンジニアリングの最も一般的なタイプの1つがフィッシングです。これは、攻撃者が銀行やウェブサイトなど、合法的な情報源からと思われる電子メールを送信するものです。このメールには、本物と同じように見せかけた偽のウェブサイトにユーザーを誘導するリンクが含まれています。その後、ユーザーはログイン情報を入力するよう求められ、攻撃者はこの情報を使ってシステムにアクセスすることができる。

ソーシャル・エンジニアリングを防ぐには？

セキュリティ攻撃を防ぐためにできることはいくつかある。まず、電子メールに記載されているリンクをクリックすることの危険性を認識しておく必要があります。メールの送信元が不確かな場合は、メールに含まれるリンクをクリックすべきではありません。第二に、ログイン情報などの個人情報を、面識のない信頼できない人に教えてはいけません。最後に、攻撃者に脆弱性を悪用されないよう、常に最新のセキュリティ・パッチを適用しておくことです。

ソーシャル・エンジニアリングを利用するハッカーの割合は？

ソーシャル・エンジニアリングはハッカーの間でよく使われる手法で、成功した攻撃の約90％に使われていると推定されている。

ソーシャル・エンジニアリング攻撃のコストは？

平均的なソーシャル・エンジニアリング攻撃のコストは160万ドルで、検知に4カ月かかる。このコストの大部分は、従業員がいつ攻撃の犠牲になったかを判断することが難しいことに起因している。正当なアクセス権を持つ従業員がソーシャル・エンジニアリング・キャンペーンに引っかかり、悪意のあるソフトウェアをインストールしたり、攻撃者に認証情報を提供したり、機密情報を漏えいしたりすると、攻撃者にとって脆弱な環境を放置することになりかねない。

ソーシャル・エンジニアリング攻撃からビジネスを守る方法

SkysnagはDMARC、SPF、DKIMを自動化し、手動設定に必要な手間と時間を省きます。Skysnagの自動化されたソフトウェアは、お客様のドメインのレピュテーションを保護し、漏洩したビジネスメール、パスワードの盗難、そして潜在的に大きな金銭的損失からお客様を守ります。このリンクから 無料トライアルに登録し、ソーシャルエンジニアリング攻撃からビジネスを守りましょう。