ソーシャル・エンジニアリング攻撃は、人々を操り、共有すべきでない情報を共有させたり、ダウンロードすべきでないソフトウェアをダウンロードさせたり、訪問すべきでないウェブサイトを訪問させたり、犯罪者に送金させたり、個人または組織のセキュリティーを危険にさらすその他のミスを犯させたりします。ソーシャル・エンジニアリングは心理操作を使用し、技術的脆弱性またはデジタル・システムの脆弱性ではなく、人間のミスや弱点を利用するため、「ヒューマン・ハッキング」と呼ばれることもあります。
信頼できる同僚から送信されたように見える、機密情報を要求するEメール、IRSからのものであると主張する脅迫的なボイスメール、外国の有力者からの富の提供などです。これらはソーシャル・エンジニアリングのほんの一例にすぎません。
サイバー犯罪者は、ソーシャル・エンジニアリング戦術を頻繁に使用して、個人データや財務情報(ログイン資格情報、クレジット・カード番号、銀行口座番号、社会保障番号)を取得し、ID盗用に使用します。それによって、人々のお金やクレジットを使用して購入したり、他人の名前でローンを借りたり、他人の失業手当を申請したりできてしまいます。しかし、ソーシャル・エンジニアリング攻撃は、大規模なサイバー攻撃の第1段階となる可能性もあります。たとえば、サイバー犯罪者は被害者を騙してユーザー名とパスワードを共有させ、それらの資格情報を使用して被害者の雇用主のネットワークにランサムウェアを仕掛ける可能性があります。
ソーシャル・エンジニアリングがサイバー犯罪者にとって魅力的なのは、ファイアウォール、アンチウイルス・ソフトウェア、その他のサイバーセキュリティーの制御を回避するという難しい技術的作業をすることなく、デジタル・ネットワーク、デバイス、アカウントにアクセスできるからです。ISACAのState of Cybersecurity 2022レポート(ibm.com外部へのリンク)によると、ソーシャル・エンジニアリングが現在のネットワーク侵害の主な原因となっている理由の1つはここにある。また、IBMのCost of a Data Breach 2022レポートによると、ソーシャル・エンジニアリングの手口(フィッシングやビジネス・メール詐欺など)による侵害は、最もコストがかかるものの1つであった。
IBM Security® QRadar® SIEMが異常な動作をどのように識別して調査するかをご覧ください。
ソーシャル・エンジニアリングの戦術とテクニックは、人間の動機の科学に基づいています。犯罪者は、人々を自分たちの利益にならない行動に駆り立てることが証明されている方法で、被害者の感情や本能を操作します。
ほとんどのソーシャル・エンジニアリング攻撃では、次の1つ以上の戦術が使用されます。
信頼できるブランドを装う―詐欺師は、被害者が知っていて、信頼していて、おそらく頻繁に、あるいは定期的に取引している企業に「なりすます」ことが多いです。そのような企業とは、あまりに定期的に取引しているため、安心しきって、反射的にそのブランドからの指示に従ってしまうのです。ソーシャル・エンジニアリング詐欺師の中には、広く入手可能なキットを使用して、大手ブランドや企業に似た偽のWebサイトを作成する者もいます。
政府機関または権威者のふりをする―人々は(程度はさまざまですが)権威を信頼したり、尊敬したり、恐れたりします。ソーシャル・エンジニアリング攻撃は、政府機関(FBIやIRSなど)、政治家、さらには有名人からのものであると思われるメッセージ、またはそれらを名乗るメッセージによって、これらの本能を利用します。
恐怖や切迫感を誘発する―人は怖がったり急いでいるとき、軽率な行動をする傾向があります。ソーシャル・エンジニアリング詐欺は、被害者に恐怖や緊急性を誘発するためにさまざまな手法を使用します。被害者に、最近のクレジット取引が承認されなかった、コンピューターがウイルスに感染した、Webサイトで使用されている画像が著作権を侵害している、などと伝えます。ソーシャル・エンジニアリングは、被害者の逃すことへの不安(FOMO)に訴えることもでき、これもまた別種の切迫感を生み出します。
欲望にアピールする―ナイジェリア王子詐欺(ナイジェリアの王子を名乗る人物が、国外逃亡を図るナイジェリアの王族を名乗り、受信者の銀行口座情報または少額の前払い金と引き換えに巨額の金銭的報酬を提供するメール)は、欲望にアピールするソーシャル・エンジニアリングの最もよく知られた例の1つです。(また、権威者とされる人物からの発信でもあり、それも切迫感を生み出します。これは強力な組み合わせです。)この詐欺はEメールの登場当初からあるタイプの詐欺ですが、2018年の時点でも年間70万米ドルもの被害が出ていました。
有用性や好奇心に訴える―ソーシャル・エンジニアリングの策略は、被害者のより良い性質に訴えることもできます。例えば、友人やソーシャル・ネットワーキング・サイトからと思われるメッセージは、技術的なヘルプを提供したり、アンケートへの参加を求めたり、受信者の投稿がウイルスに感染したと主張したり、偽のWebサイトやマルウェアのダウンロードへのなりすましリンクを提供したりします。
フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。
フィッシング詐欺にはさまざまな種類があります。
一括フィッシング・メールは一度に数百万の受信者に送信されます。このメールは、国営または世界的な銀行、大規模なオンライン小売業者、人気のあるオンライン支払いプロバイダーなど、有名な大企業や組織から送信されているように見せかけ、「購入手続きがうまくいかないので、クレジット情報を更新してください」といった一般的な要求を行います。多くの場合、これらのメッセージには、受信者を偽のWebサイトに誘導し、受信者のユーザー名、パスワード、クレジット・カード・データなどを取得する悪意のあるリンクが含まれています。
スピア・フィッシングは、特定の個人をターゲットにしており、通常、ユーザー情報、コンピューター・ネットワーク、または企業資金への特権的なアクセス権を持っています。詐欺師はターゲットを調査し、多くの場合、LinkedIn、Facebook、その他のソーシャル・メディアで見つけた情報を使って、ターゲットが知っていて信頼している人物からのメッセージに見せかけたり、ターゲットがよく知っている状況に言及したりします。ホエール・フィッシングは、CEOや政治家など、知名度の高い個人をターゲットにしたスピア・フィッシング攻撃です。ビジネス・メール詐欺(BEC)では、ハッカーは漏洩した資格証情報を使用して、権威ある人物の実際のメール・アカウントからメール・メッセージを送信するため、詐欺の発見がより困難になります。
ボイス・フィッシング(ビッシング)は、電話を介して行われるフィッシングです。通常、個人は、FBIからだと主張する録音された通話による脅迫の形でビッシングを経験します。しかし、IBMのX-Forceは最近、ターゲットを絞ったフィッシング・キャンペーンにビッシングを追加すると、キャンペーンの成功率を最大3倍に高めることができると判断しました。
SMSフィッシング(スミッシング)とは、テキスト・メッセージを使ったフィッシングのことです。
検索エンジン・フィッシングでは、ハッカーが人気の検索語の検索結果で上位にランクされる悪意のあるWebサイトを作成します。
アングラー・フィッシングは、信頼できる企業のカスタマー・サービスまたはカスタマー・サポート・チームの公式アカウントを装った偽のソーシャル・メディア・アカウントを介したフィッシングです。
IBM Security X-Force Threat Intelligence Index 2023によると、フィッシングは主要なマルウェア感染経路であり、全インシデントの41%で確認されています。また、Cost of a Data Breach 2022レポートによると、フィッシングは最もコストのかかるデータ侵害につながる最初の攻撃ベクトルです。
ベイティングは、価値のあるオファーや貴重な物品で被害者を誘惑することにより、故意または無意識に機密情報を提供したり、悪意のあるコードをダウンロードしたりするように被害者を誘導します。
ナイジェリア王子詐欺は、おそらくこのソーシャル・エンジニアリング手法の最もよく知られた例です。最近の例には、無料だがマルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードなどが挙げられます。しかし、ベイティングには、極めて単純な形で行われるものもあります。たとえば、一部の脅威アクターは、マルウェアに感染したUSBドライブを人々が見つけやすい場所に放置し、「USBメモリーを拾えてラッキー」と思わせて、それを使うように誘います。
テールゲーティング(「ピギーバッキング」とも呼ばれます)では、許可されていない人が許可された人の後を追って、機密情報や貴重な資産が含まれるエリアに侵入します。テールゲーティングは物理的に行うことができます(例えば、攻撃者は、ロックされていないドアを通って従業員を追跡できます)。また、テールゲーティングは、個人のアカウントやネットワークにログインしたままコンピューターから目を離すなど、デジタル戦術である場合もあります。
プリテキスティングでは、脅威アクターは被害者に対して偽の状況を作り出し、それを解決する適切な人物を装います。詐欺師はしばしば(そして最も皮肉なことに)、被害者がセキュリティー侵害の影響を受けていると主張し、被害者が重要なアカウント情報を提供したり、被害者のコンピューターやデバイスをコントロールさせくれるのであれば、事態を解決すると申し出ます。(技術的に言えば、ほぼすべてのソーシャル・エンジニアリング攻撃には、ある程度のプリテキスティングが含まれます。)
クイド・プロ・クオでは、ハッカーは被害者の機密情報と引き換えに望ましい商品やサービスをちらつかせます。偽のコンテストの賞金や、一見無害なロイヤルティ報酬(例えば、「お支払いありがとうございます。プレゼントを用意しています」)は、クイド・プロ・クオの策略の一例です。
スケアウェアはマルウェアの一種とも考えられており、恐怖を利用して人々を誘導し、機密情報を共有させたり、マルウェアをダウンロードさせたりするソフトウェアです。スケアウェアは、ユーザーの犯罪を告発する偽の法執行通知や、ユーザーのデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとることがよくあります。
「誰かが水飲み場に毒を入れた」というフレーズが語源となっています。この攻撃では、ハッカーはターゲットが頻繁にアクセスする正規のWebページに悪意のあるコードを挿入します。水飲み場型攻撃は、資格情報の盗難から意図せぬドライブバイ・ランサムウェアのダウンロードまで、あらゆる被害を引き起こします。
ソーシャル・エンジニアリング攻撃は、技術的経路ではなく人間の心理に依存しているため、防ぐのが難しいことで知られています。攻撃領域も大きく、大規模な組織では、たった1人の従業員のミスで企業ネットワーク全体の完全性が損なわれてしまいます。ソーシャル・エンジニアリング詐欺のリスクを軽減し、成功させないようにするために専門家が推奨する手順には、次のようなものがあります。
セキュリティー意識向上トレーニング―多くのユーザーは、ソーシャル・エンジニアリング攻撃を特定する方法を知りません。そして、ユーザーが商品やサービスと個人情報を頻繁に交換する時代に、電話番号や生年月日などの一見ありふれた情報を手渡すと、ハッカーがアカウントを侵害できる可能性があることに気づいていません。セキュリティー意識向上トレーニングは、データ・セキュリティー・ポリシーと組み合わせることで、従業員が機密データを保護する方法や、進行中のソーシャル・エンジニアリング攻撃を検出して対応する方法を理解するのに役立ちます。
アクセス制御ポリシー―多要素認証、適応型認証、ゼロトラスト・セキュリティー・アプローチなど、セキュアなアクセス制御ポリシーとテクノロジーによって、たとえユーザーのログイン資格情報を入手したとしても、サイバー犯罪者による企業ネットワーク上の機密情報や資産へのアクセスを制限することができます。
サイバーセキュリティー・テクノロジー―スパム・フィルターとセキュアなEメール・ゲートウェイは、そもそも一部のフィッシング攻撃が従業員に届くのを防ぐことができます。ファイアウォールとアンチウイルス・ソフトウェアは、ネットワークにアクセスした攻撃者による被害の程度を軽減できます。オペレーティング・システムを最新のパッチで最新の状態に保つことで、攻撃者がソーシャル・エンジニアリングを通じて悪用する一部の脆弱性を阻止することもできます。また、エンドポイントでの検知と対応(EDR)や拡張された検知と対応(XDR)などの高度な検知と対応ソリューションは、ソーシャル・エンジニアリングの手口でネットワークに感染するセキュリティー脅威をセキュリティー・チームが迅速に検知し、無力化するのに役立ちます。
フィッシング、ビッシング、物理的なソーシャル・エンジニアリングの演習を通じて、従業員をテストします。従業員、プロセス、ポリシーの脆弱性を明らかにして、実際のソーシャル・エンジニアリング攻撃が成功するリスクを軽減します。
最も重要な資産を攻撃にさらす脆弱性を発見して修正するために、アプリケーション、ネットワーク、ハードウェア、担当者にテキスト・メッセージを送信します。X-Force® Red Portalを使用すると、修復に関係するすべての人がテスト結果をすぐに確認し、都合の良いときにセキュリティー・テストをスケジュールできます。
SOC担当者の81%が手作業での調査で速度が低下していると回答しています。1IBM Security QRadar® Suiteによるスピード・アラート調査は、AIとオートメーションを使用して一体化されたアナリスト体験が特長の、最新セキュリティー技術を集めたソリューションです。