ソーシャル・エンジニアリングは、人々を操作して、共有してはならない情報の共有、ダウンロードしてはならないソフトウェアのダウンロード、アクセスしてはならないWebサイトへのアクセス、犯罪者への送金を仕向けたり、個人や組織の資産やセキュリティーを危険にさらすその他の間違いを犯すよう誘導します。
信頼できるベンダーがクレジット・カード情報の更新を要求しているように見える電子メールや、IRSからのものであると主張する脅迫的なボイスメール、外国の有力者からの富の提供の申し入れ申し入れ、などは、ソーシャル・エンジニアリングのほんの一例です。
ソーシャル・エンジニアリングは、技術やデジタルのシステム上の脆弱性ではなく、人間の弱点を悪用するため、「人間のハッキング」と呼ばれることもあります。
多くの場合、サイバー犯罪者はソーシャル・エンジニアリングの戦術を使用して、ログイン資格情報、クレジットカード番号、銀行口座番号、社会保障番号などの個人データを取得します。こうした情報はID盗用に使用できますので、他人のお金やクレジットを使った買い物や、他人の名前でのローン申請、他人の失業手当の申請が可能になります。 しかし、ソーシャル・エンジニアリング攻撃は、大規模なサイバー攻撃の最初の段階にもなり得ます。 たとえば、サイバー犯罪者が被害者をだましてユーザー名とパスワードを共有させ、それらの資格情報を使用して被害者の雇用主のネットワークにランサムウェアを仕掛ける可能性があります。
ソーシャル・エンジニアリングは、ファイアウォールやウイルス対策ソフトウェア、その他のサイバーセキュリティー上の制御をハッキングするという難しい技術的作業を行わずに、デジタル・ネットワーク、デバイス、アカウントにアクセスできるため、サイバー犯罪者にとって魅力的です。 ISACAの「2021年セキュリティーの状況」レポートによれば、これがソーシャル・エンジニアリングが今日のネットワーク侵害の主な原因である理由の1つです。 また、これは最もコストのかかるものの1つです。IBMの「2021年データ障害によるコスト」レポートによれば、ソーシャル・エンジニアリング攻撃によって引き起こされたデータ侵害は、企業に平均で447万米ドルの費用を発生させています。
ソーシャル・エンジニアリングの戦術と技術は、人間の動機付けの科学に基づいています。 彼らは犠牲となる人の感情や本能を、人が自己の最善の利益ではない行動をとるよう駆り立てられると実証されている方法を使って操作します。
ほとんどのソーシャル・エンジニアリング攻撃は、次の1つ以上の戦術を採用しています。
- 信頼できるブランドを装う:詐欺師は、被害者が知っている、信頼している、そしておそらく頻繁にまたは定期的に取引している企業のふりをする、つまり「なりすまし」をすることがよくあります。被害者が適切な予防策を講じることなく、定期的にこれらのブランドの指示に従っているからです。 一部のソーシャル・エンジニアリング詐欺師は、主要なブランドや企業のWebサイトに似た偽のWebサイトをステージングするために、広く利用可能なキットを使用しています。
- 政府機関や当局の人物を装う:人々は(程度の差はあれ)当局を信頼し、尊重し、恐れます。 ソーシャル・エンジニアリング攻撃では、政府機関(FBIやIRSなど)や政治家、さらには有名人からのものであるように見える、またはそのように主張するメッセージを使用して、こうした本能を刺激します。
- 恐怖や切迫感を誘発する:人々は怖がったり急いだりすると、性急に行動する傾向があります。 ソーシャル・エンジニアリング詐欺は、被害者に恐怖や緊急性を誘発するために、さまざまな手法を使用できます。例えば、最近のクレジット取引が承認されなかった、コンピューターにウイルスが感染した、Webサイトで使用されている画像が著作権を侵害している、といったことを被害者に伝えます。 ソーシャル・エンジニアリングは、被害者の見逃しの恐れ(FOMO)にも訴える可能性があります。これは別の種類の緊急性を生み出します。
- 貪欲に訴える: ナイジェリアの王族であると主張する人が自国から逃げようとしているが、受取人の銀行口座情報か少額の前払い金と引き換えに巨額の金銭的報酬を提供するというナイジェリアの王子の詐欺は、貪欲に訴えるソーシャル・エンジニアリングの最もよく知られた例の1つです。 (これはまた、権威者であると主張する人から来ており、その上である種の切迫感を生み出しますので、強力な組み合わせです。) この詐欺は電子メール自体と同じくらい古いものですが、2018年の時点で、まだ年間70万米ドルをかき集めています。
- 有用性や好奇心に訴える:ソーシャル・エンジニアリングの策略は、被害者のより良い性質に訴えることもできます。 たとえば、友人やソーシャル・ネットワーキング・サイトからのように見えるメッセージは、技術的な支援を提供したり、調査への参加を求めたり、受信者の投稿が口コミで広まったと主張したり、偽のWebサイトやマルウェアのダウンロードへのなりすましリンクを提供したりできます。
フィッシング
フィッシング攻撃は、受信者を操作して機密情報を共有したり、悪意のあるソフトウェアをダウンロードしたり、お金や資産を間違った人に転送したり、その他の有害な行動をとろうとするデジタルや音声のメッセージのことです。 詐欺師は、フィッシング・メッセージを作成して、信頼できる、信用に足る組織や個人(場合によっては、受信者が個人的に知っている個人も使われます)から送信されたように見せたり、聞こえたりするようにします。
フィッシング詐欺には多くの種類があります。
- 大量のフィッシング・メールは、一度に数百万の受信者に送信されます。 これらは、大規模で有名な企業や組織(国内外の銀行、大手のオンライン小売業者など)から送信されたように見え、「ご購入の処理に問題があります。クレジット情報を更新してください」などの一般的なリクエストを送信します。
- スピア・フィッシングは、特定の個人、通常はユーザー情報、コンピューター・ネットワーク、または企業資金への特権アクセスを持つ個人を標的としています。 詐欺師は、ターゲットとなる人を調査し(多くの場合、ソーシャル・メディアを使用して)、その人が知っていて信頼している誰かから送信されたように装ったメッセージや、その人がよく知っている状況を参照するメッセージを作成します。 ホエーリングは、CEOや政治家などの著名人を標的としたスピア・フィッシングです。 ビジネス電子メール侵害(BEC)では、ハッカーは侵害された資格情報を使用して、当局の人物の実際の電子メール・アカウントから電子メールによるメッセージを送信するため、詐欺の検出がはるかに困難になります。
- ボイス・フィッシング(ビッシング)は、電話を介して行われるフィッシングです。 人々は、典型的には、FBIからのものであると主張する録音された通話で脅かされると言う方法でビッシングを経験します。 しかし、IBMのX-Forceは、最近、ターゲットを絞ったフィッシング・キャンペーンにビッシングを追加すると、キャンペーンの成功を最大3倍に高めることができると判断しました。
- SMSフィッシング(スミッシング)は、テキスト・メッセージを介したフィッシングです。
- 検索エンジンのフィッシングには、ハッカーが人気のある検索用語としてGoogleの検索結果の上位にランク付けされる悪意のあるWebサイトを作成することが含まれます。
- アングラー・フィッシングは、信頼できる企業のカスタマー・サービスやカスタマー・サポート・チームの公式アカウントを装った、偽のソーシャル・メディア・アカウントを介したフィッシングです。
IBMの「2021年データ障害によるコスト」レポートによれば、フィッシングは最も一般的なマルウェア配信方法であり、データ侵害の2番目に一般的な原因です。
ベイティング
ベイティング(餌付け)は、貴重なオファーや貴重なオブジェクトで誘って、被害者を(しゃれを意図せずに)誘惑して、機密情報を故意または無意識に放棄したり、悪意のあるコードをダウンロードしたりするようにします。
ナイジェリアの王子の詐欺は、おそらくこのソーシャル・エンジニアリング手法の最も有名な例です。 より最近の例としては、無料だがマルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードなどがあります。 しかし、餌のいくつかの形態はほとんど巧妙ではありません。 たとえば、一部の詐欺師は、マルウェアに感染したUSBドライブを、人々が見つけられる場所に置いておくだけです。「おお、タダのUSBドライブだ」という理由で、それらを入手して使用するからです。
テールゲーティング
テールゲーティングは、「ピギーバッキング」(ただ乗り)とも呼ばれ、許可されていない人物が、許可された人物が機密情報や貴重な資産を含むエリアに入るのを詳しく追跡します。 テールゲーティングは、ロックされていないドアから従業員を追跡する場合など、物理的なものに行うこともできます。 ただし、個人アカウントまたはネットワークにログインしたまま、人がコンピューターを放置しておく場合など、テールゲーティングはデジタルで行うこともできます。
プリテキスティング
プリテキスティング(口実作り)では、詐欺師は被害者に偽の状況を作り出し、それを解決するのにふさわしい人物を装います。 非常に多くの場合(そして最も皮肉なことに)、詐欺師は被害者がセキュリティー違反の影響を受けたと主張し、被害者が重要なアカウント情報を提供したら問題を修正したり、被害者のコンピューターやデバイスを制御することを提案します。 (技術的に言えば、ほとんどすべてのソーシャル・エンジニアリング攻撃にはある程度の口実が含まれます。)
クイド・プロ・クォー
クイド・プロ・クォー(代償型)の詐欺では、ハッカーは、被害者の機密情報と引き換えに、望ましい商品やサービスをちらつかせます。 偽のコンテストの賞金や一見無邪気な忠実に対するリワード(「お支払いありがとうございます。あなたに贈り物があります」)は、クイド・プロ・クォーの策略の例です。
スケアウェア
また、マルウェアの一種と見なされているスケアウェアもあります。これは、恐怖を利用して人々を操作して機密情報を共有したり、マルウェアをダウンロードしたりするソフトウェアです。 スケアウェアは、多くの場合、ユーザーを犯罪であると非難する偽の法執行通知、またはユーザーにデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとります。
水飲み場型攻撃
「誰かが水飲み場を毒殺した」というフレーズに由来するもので、ハッカーは、ターゲットとなる人が頻繁に訪れる正当なWebページに悪意のあるコードを挿入します。 水飲み場型攻撃は、盗まれた資格情報から無意識のドライブ・バイ・ランサムウェアのダウンロードまで、すべての原因となります。
ソーシャル・エンジニアリング攻撃は、技術的な経路ではなく人間の心理に依存しているため、防止が難しいことで有名です。 攻撃対象領域も重要です。大規模な組織では、1人の従業員のミスだけでも、企業ネットワーク全体の整合性を損なうことがあります。 ソーシャル・エンジニアリング詐欺のリスクと成功を軽減するために専門家が推奨する手順には、次のものがあります。
- セキュリティー意識向上トレーニング:多くのユーザーは、ソーシャル・エンジニアリング攻撃を特定する方法を知りません。 また、ユーザーが個人情報を商品やサービスと頻繁に交換している際に、電話番号や生年月日など、一見ありふれた情報を明け渡せば、ハッカーがアカウントを侵害する可能性があることに気づきません。 セキュリティー意識向上トレーニングをデータ・セキュリティー・ポリシーと組み合わせることで、従業員は機密データを保護する方法や、進行中のソーシャル・エンジニアリング攻撃を検出して対応する方法を理解できます。
- アクセス制御ポリシー:多要素認証、適応認証、ゼロトラスト・セキュリティー・アプローチなどの安全なアクセス制御ポリシーとテクノロジーにより、サイバー犯罪者がユーザーのログイン資格情報を取得した場合でも、企業ネットワーク上の機密情報や資産へのアクセスを制限できます。
- サイバーセキュリティー技術:スパム・フィルターと安全な電子メールのゲートウェイは、フィッシング攻撃の従業員への到達を第一段階で防御することができます。 ファイアウォールとウイルス対策ソフトウェアは、ネットワークにアクセスする攻撃者による被害を軽減することができます。 オペレーティング・システムを最新のパッチで最新の状態に保つことで、攻撃者がソーシャル・エンジニアリングを通じて悪用する脆弱性を閉じることもできます。 また、エンドポイント検出と応答(EDR)や拡張検出と応答(XDR)などの高度な検出と応答のソリューションは、セキュリティー・チームがソーシャル・エンジニアリング戦術を介してネットワークに感染するセキュリティー脅威を迅速に検出して中和するのに役立ちます。