ソーシャル・エンジニアリング攻撃 - 種類と対策方法

ソーシャル・エンジニアリングとは?

正直なところ、ソーシャル・エンジニアリングの定義を説明するには多くの要素があり、様々な悪意ある行為や複数のステップを含みます。しかし、これらの行為はすべて、人のミスや心理、恐怖心を利用して制限された情報やリソースへアクセスする点が共通しています。 

用いられる手法によって、対象の個人情報を詳しく調べたり、偽の要素を作り出したり、対象と攻撃手段の関係性を探ったり、セキュリティの抜け穴を見つけたりと、多岐にわたる行動が行われます。

これらのさまざまな手順を通じ、詐欺師は被害者の信頼を得た上で、求める行動を取らせようとします。

ソーシャル・エンジニアリングの仕組み

ソーシャル・エンジニアリングは、技術的にも容易でありながら成功率が高い詐欺手法のひとつです。それぞれの手法は独自の動きをします。

例えばフィッシングやテイルゲーティングといった技法を使い、ハッカーは対象を罠に誘い込みます。罠にかかったところで情報が盗まれ、個人的な利益に利用されるのです。その工程は以下のとおりです。

• ・準備：対象に関する情報を収集する。
• ・侵入：攻撃者が対象へ接近を試みる。
• ・悪用：前段階が成功すると、対象の信頼を利用する。
• ・撤退：攻撃が成功した後に退く。
• ・痕跡削除：被害者や関係者に自らの特定を防ぐため、証拠を消し去る。

ソーシャル・エンジニアリングの歴史 

インターネットが普及する以前から、ソーシャル・エンジニアリングの一部である策略は存在していました。人々は策略を用いて金銭を騙し取ったり、不合理な取引を行ったりしていました。この用語は1894年にオランダの実業家 JC Van Marken によって初めて使用され、ソーシャル・エンジニアリングが古い概念であることを物語っています。

90年代にインターネットが普及すると、ソーシャル・エンジニアリングも変化しました。対面で人を騙す代わりに、詐欺師はインターネットを利用し、悪意あるリンクや招待状を含む偽のメールを送信するようになりました。これがフィッシングの始まりであり、サイバーパンクはこの手法で初心者を偽サイトへ誘導しました。 

現代においても、ハッカーは在宅勤務やCOVID-19の状況を利用し、対象への侵入を試み、サーバやネットワークを乗っ取って大規模なデータベースにアクセスしようとしています。

‍

ソーシャル・エンジニアリング攻撃の種類

これらの攻撃は多種多様で見破るのが難しく、また、わずかな違いを除けばどれも似た手口です。ここでは特に悪名高い攻撃手法を紹介します。

• フィッシング
  

メールやメッセージを使って、悪意あるサイトやリンクへ誘導することで、対象の機密情報を狙う手法です。

この手法では、大量のメールが送られ、ハッカーは通信事業者、企業のCEO、または政府機関などを装って対象を騙します。偽装は非常に巧妙で、本物に見えることが多いですが、誤字や粗悪なロゴ、不審なデザインに注意が必要です。

フィッシングには様々な種類があります。

例えば、SMSを利用した場合はSMSフィッシングと呼ばれます。

アングラーフィッシングは主にソーシャルメディア上で行われ、企業と顧客のコミュニケーションを狙います。さらに、検索結果に偽のリンクやサイトを掲載する検索エンジンフィッシングは、通常、有料広告を利用して行われます。 

URLフィッシングは、信頼あるURLのリンクを操作したり、似たURLを用いることで、ユーザーを偽サイトへ誘導します。 

インセッションフィッシングは、通常のウェブ閲覧中に偽のポップアップを表示し、一時的に閲覧を中断させます。 

• ・ベイティング（おとり）攻撃 
  

チーズを使ってネズミを誘い込むように、詐欺師は情報提供の見返りに利益や報酬を約束し、人々の欲を利用して騙します。主に無料の贈り物やダウンロードが提示されます。

• プリテキスティング 攻撃
  

物語調の電話などを用いて、ハッカーが対象に話を語り、機密情報の提供を引き出そうとします。状況を想定して、説得力ある話をする場合もあります。

例えば、共通の友人の名前を利用して助けを求めたり、銀行名を知っていればその銀行の職員を装い、暗証番号や口座番号を要求したりします。 

• ・ウォーターホール
  

多数の人に影響を与える必要がある場合、ウォーターホール攻撃が有効です。この攻撃では、詐欺師が有名なサイトやページを標的とし、そこへ集まる全てのトラフィックを狙います。 

実行には手間がかかるものの、成功すれば大きな利益が得られます。まず有名なサイトの弱点を見つけ、その隙を突くのです。熟練した技術者でなければ難しい攻撃です。

古いSSL証明書、見逃されたバグ、古いプラグインなどの脆弱性を抱えるサイトは、ウォーターホール攻撃の標的になりやすいです。 

• ・スケアウェア
  

この攻撃は、人の恐怖心を利用し、偽の警告や脅しで不安にさせる手法です。たとえば、システムにウイルスがある、またはバッテリーの消耗が速いと伝え、対策ツールのダウンロードを促します。 

• ・テイルゲーティング
  

テイルゲーティングは、信頼される人物のアクセス情報を利用して、特定のリソースに侵入する方法です。

• ・クイッド・プロ・クオ
  

基本的に『見返り』を意味し、認証情報の共有やサイト訪問の対価として報酬が与えられることを指します。調査やアンケートが、この手法でよく使われます。 

• ・ホエーリングとスピアフィッシング
  

特定の人物や企業を狙う、より絞られたフィッシングであるスピアフィッシングは、職種、所在地、連絡先などの情報をもとに計画され、より個別的で成功率が高いです。

ホエーリングはスピアフィッシングの別称であり、業界の大物（ホエール）を狙うため、この呼び名が使われます。

• ・ビッシング 攻撃
  

フィッシングの一種で、電話や音声通話を使って相手を騙す手法です。

ソーシャル・エンジニアリング攻撃の兆候

ソーシャル・エンジニアリングの最大の課題は、その正確な検知です。専門家でさえ攻撃の全容を把握するのは困難で、重なり合う特徴が混乱を招きます。 

さらに、攻撃目的は様々で、データ窃盗を狙うものもあれば、ソフトや端末に損害を与えるためのものもあります。 

しかし、ソーシャル・エンジニアリングには特有の兆候があり、攻撃目的が異なっていてもそれらを確認することで、存在を見抜くことができます。 

• ・即時行動を迫る圧力 

メールやメッセージ、SMSなどで即座の行動を求められる場合、ソーシャル・エンジニアリングの可能性が高いです。感情を煽り、冷静な判断を妨げる狙いがあります。 

急いで！今すぐ登録しないと、銀行口座の有効化が失われるか、残高が不足するかもしれません。こちらをクリックして即時の資金を受け取ってください。 

このような文面は、被害者を混乱させ、非合理的な判断に導くための一例です。 

• ・偽装されたアドレス

相手の信用を得るには多くの要素が必要ですが、最も手軽なのは偽装アドレスを使う方法です。 

サイバーパンクは、有名サイトのドメインに似た名前を、わずかな変更を加えて利用します。 

例えば、Amazon.com の代わりに Amezon.com や Amazen.com といったアドレスのメールが届くことがあり、そのわずかな違いに気づかず、罠に嵌る可能性があります。

• ・情報不足や不十分な詳細

ハッカーは、攻撃前後に自身が露見するのを避けるため、情報が不足している、または検証できない内容を提供します。 

そのため、行動を起こす前に送信者の情報を再確認することが重要です。 

• ・質問に対する返答がない

大量送信される偽のメールは、返信に手間をかけないため、返信がなかったり、返信不可能なアドレスや番号から送られてくることがあり、これもソーシャル・エンジニアリングの兆候です。 

• ・低品質な画像やリンク

たとえURLを騙し取れたとしても、ハッカーは画像やリンクの見た目にこだわらないことが多く、低品質でプロらしさに欠けるため、注意が必要です。 

• ・非現実的な主張やオファー

被害者を誘い込むのは容易ではありません。そのため、あまりにも魅力的すぎるオファーが提示される場合があります。例えば、「このフォームに記入すれば即時に$5,000が口座に振り込まれる」や「アンケートに参加すれば$10,000相当の贈り物がもらえる」といった内容です。 

本当にアンケートで$10,000が得られると考えられるか？これは非現実的な主張です。 

それでも、ハッカーはこうした主張で油断させようとします。もしこのような大げさな内容のメールやメッセージが届いた場合は、幸運と捉えるのではなく、攻撃の可能性を警戒してください。 

‍

ソーシャル・エンジニアリングの例

すべての例を挙げると長くなってしまうため、代表的なものを紹介します。

ナイジェリアの419詐欺を忘れることはできません。この詐欺では、詐欺師が対象に安全なマネーロンダリングの支援を謳い、結果として有名なミシガン州の郡が$1.2百万を支払う事態に陥りました。 

2011年には、詐欺師が人々の不安につけ込み、より高給な仕事を得させるため、RSAといった有名なセキュリティ企業の下層社員を標的とし、偽のファイルを従業員に回して攻撃を実行しました。 

2016年、有名な詐欺師が米国司法省のメールアカウントを管理者権限で乗っ取り、その後、組織の職員を装い、ヘルプデスク担当者から機密情報を引き出しました。 

ソーシャル・エンジニアリング攻撃を見抜く方法

こうした攻撃は多岐にわたりますが、早期発見と迅速な対策が必須です。少しの注意と意識で被害要因を見抜き、大きな被害に至る前に攻撃を阻止できます。以下に、早期発見のための方法を紹介します。

• ‍感情が揺れやすいか
  

恐怖、好奇心、興奮といった感情は、仮想的な攻撃手法に引っかかりやすくし、冷静さを欠かす原因となります。このような状態にある場合、被害に遭う可能性が高いといえます。

• ‍メッセージの発信元を確認する
  

信頼できる発信元からのメールには、赤信号が見当たらず悪意もありません。機密情報を求めるメールが届いた場合は、その発信元に注意してください。例えば、正しいメールアドレスに似た表記（marry@gmail.com といった誤り）がある場合もあります。 

‍信頼できる情報源と照合することをためらわない

例えば、X友が危機的状況にあるといったメールが届いた場合は、直接その友人や関係者に確認することで、詐欺師の罠を回避できます。

状況がいかに深刻であっても、詳細を確認してから行動することが大切です。情報と事実が一致しない場合は、注意が必要です。

• ‍警戒すべき兆候を探す
  

偽サイトには目立つ警戒サインが存在します。URLの不正、低品質な画像、誤字、欠落したロゴなどに注意し、そうしたサイトを発見した場合はすぐに離れましょう。

• ‍オファーの信頼性を確認する
  

あまりにも魅力的なオファーやメールが届いた場合は、認証情報を提供する前に、その信頼性を入念に確認してください。

そのオファーが正規の企業からのものであるかどうか、確認しましょう。

• ‍リンクに不審な点がないか
  

リンクや添付ファイルが含まれるメールは、細部までチェックする必要があります。不正なファイルが含まれていたり、内容が不自然な場合は罠である可能性が高いです。

送信者の身元を確認することも大切です。注意深くあることが、攻撃の被害に遭わないための鍵となります。 

ソーシャル・エンジニアリングへの基本対策

本物と偽物のオファーや緊急性を見分けるのは難しいですが、必ず行うべき作業です。こうした攻撃は人の感情を利用するため、対応は容易ではありません。

時には非常に緻密に計画され、感情を揺さぶることで誤った行動を促すことがありますが、必ず対策は存在します。以下に、ソーシャル・エンジニアリングに対抗する有効な方法を紹介します。 

1. ‍衝動的に行動しない
   

攻撃者は、対象の反応を引き出すことで計画を成功させようとします。魅力的なオファーに心を動かされても、一呼吸おいて信頼性を確認してから行動しましょう。対象が動かなければ、攻撃は成立しません。 

2. ‍不審な発信元のメール、リンク、ファイルは扱わない
   

前述の警戒サインを参考にし、不審な連絡は決して受け入れないようにしてください。もし同様のメールが何度も届く場合は、スパム処理または報告を行いましょう。メール偽装は実際に発生しており、既に多くの被害をもたらしています。 

3. ‍多機能のウイルス対策ソフトを使う
   

常に注意深く行動するのは難しいため、疑わしいリンクをクリックしたり偽ファイルをダウンロードしてしまう可能性は否めません。しかし、その結果は非常に危険です。 

そのため、強力なウイルス対策ソフトの使用が賢明です。悪意あるリンクや添付ファイルは、人間には見逃されがちですが、高性能AIは即座に感知し、開く前に警告してくれます。このタイムリーな警告が、大きな被害を防ぎます。 

4. ‍MFAを有効にする
   

ソーシャル・エンジニアリングは、ログインパスワードや銀行の暗証番号、メールなどの情報を盗むことを狙います。MFA、つまり多要素認証を利用することで、これらの情報への不正アクセスを防ぐことができます。

一般的には、パスワードとワンタイムパスワード（OTP）の組み合わせが用いられ、OTPは登録済みの携帯番号へ送信されます。これにより、不正アクセスの可能性が大幅に低下し、アカウントやアプリのセキュリティが強化されます。

5. ‍A good spam filter can save the day 
   

メールは攻撃者の侵入口です。安全を保つため、メールをしっかり保護しましょう。強力なスパムフィルターがあれば、悪意あるメールが届くまでに時間がかかり、複数の基準で信頼性をチェックしてくれます。 

例えば、IPアドレスや偽リンクの有無、メッセージ内容を確認します。 

これら多くの要素に基づき、メールの受信が判断され、大きな手間を省くことができます。

6. ‍Email gateways are wonderful 
   

個人向けのメールフィルターは優秀ですが、企業環境では十分な効果を発揮しないことがあります。最近のEUサイバーセキュリティ庁の報告によると、COVID-19時のフィッシング被害は667%増加しました。調査の結果、詐欺、ブランド偽装、ビジネスメールの乗っ取りが主な攻撃テーマでした。 

メールゲートウェイは、メール偽装やその他の攻撃を防ぐのに非常に有効です。組織の送受信メールをチェックし、不審なものを早期にブロックするため、被害のリスクを大幅に軽減します。 

7. ‍Take the help of the Incident Management Response System
   

このツールは、企業内のあらゆるサイバーセキュリティインシデントを記録・追跡します。 

インシデントの特定から影響の記録まで、すべてを行い、AIと人による脅威分析および対策を統合し、危険が迫ると即座に警告を発します。 

8. ‍Maintain a low digital presence and erase your digital footprints 
   

現代はデジタル化が進み、膨大なデジタル足跡を持つことは避けられません。しかし、ソーシャルメディアであまりにも多くの情報を共有すると、攻撃者の標的になる可能性が高まります。 

頻繁にソーシャルメディアを利用し、個人情報や現在地の更新を過剰に公開することは、攻撃のリスクを増大させます。控えめに振る舞い、必要最低限の情報のみを共有するよう心がけましょう。

デジタル足跡を減らすため、シークレットモードでの閲覧、検索履歴の削除、そして不必要な友達追加を避けることが推奨されます。