ソーシャル・エンジニアリングとは、人々を巧みに操ることで、情報の共有、ソフトウェアのダウンロード、ウェブサイトへの訪問、犯罪者への送金、個人または組織のセキュリティーを危険にさらすミスを犯させる攻撃のことです。
同僚を装った人物からの機密情報を要求するEメール、国税庁の名を語った脅迫的なボイスメール、外国の有力者からの金銭の提供など、これらはソーシャル・エンジニアリングのほんの一例にすぎません。ソーシャル・エンジニアリングは心理操作を使用し、技術的またはデジタル・システムの脆弱性ではなく、人間のミスや弱点を利用するため、「ヒューマン・ハッキング」と呼ばれることもあります。
サイバー犯罪者は、ソーシャル・エンジニアリング戦術を頻繁に使用して、個人データや財務情報(ログイン認証情報、クレジットカード番号、銀行口座番号、社会保障番号)を取得し、ID盗用に使用します。これにより他人の金銭やクレジットカードを使用して物を購入したり、他人の名前でローンを借りたり、他人の失業手当を申請することができてしまいます。
さらに、ソーシャル・エンジニアリング攻撃は、大規模なサイバー攻撃への最初の段階となる可能性もあります。例えば、サイバー犯罪者は被害者を騙してユーザー名とパスワードを共有させ、それらの認証情報を使用して被害者の雇用主のネットワークにランサムウェアを仕掛ける可能性もあるからです。
ソーシャル・エンジニアリングがサイバー犯罪者にとって魅力的なのは、ファイアウォール、アンチウイルス・ソフトウェア、その他のサイバーセキュリティーの制御を回避するという難しい技術的作業をすることなく、デジタル・ネットワーク、デバイス、アカウントにアクセスできるためです。
ISACAのState of Cybersecurity 2022レポートによると、ソーシャル・エンジニアリングが現在のネットワーク侵害の主な原因となっている理由の1つはここにあります。また、IBMのデータ侵害のコストに関する調査によると、ソーシャル・エンジニアリングの手口(フィッシングやビジネス・メール詐欺など)による侵害は、最もコストがかかるものの1つであることがわかっています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ソーシャル・エンジニアリングの戦術とテクニックは、人間の動機の科学に基づいています。犯罪者は、人々を自分たちの利益にならない行動に駆り立てることが証明されている方法で、被害者の感情や本能を操作します。
多くのソーシャル・エンジニアリング攻撃では、次の戦術が使用されます。
信頼できるブランドを装う―詐欺師は、被害者が信頼し、頻繁に、あるいは定期的に取引している企業に「なりすます」ことが多いようです。そのような企業とは、定期的に取引しているため、安心しきっており、反射的にそのブランドからの指示に従ってしまうのです。ソーシャル・エンジニアリング詐欺師の中には、広く入手可能なキットを使用して、大手ブランドや企業に似た偽のWebサイトを作成する者もいます。
政府機関または権威者を装う―程度はさまざまですが、一般的に人はある程度権威を信頼し、尊敬し、あるいは恐れの気持ちを持っています。ソーシャル・エンジニアリング攻撃は、政府機関(FBIやIRSなど)、政治家、または有名人から送信されたと思わせるメッセージ、またはそれらを名乗るメッセージによって、これらの本能を利用します。
恐怖や切迫感を誘発する―人は恐怖や切迫感を感じる時、軽率な行動をとる傾向があります。ソーシャル・エンジニアリング詐欺は、被害者にそのような恐怖や緊急性を誘発するためにさまざまな手法を使用します。被害者に、最近のクレジット取引が承認されなかった、コンピューターがウイルスに感染した、またWebサイトで使用している画像が著作権を侵害している、などと伝えることによってその感情を起こさせます。ソーシャル・エンジニアリングは、被害者に対して、取り残されることへの不安(FOMO)を煽ることもできるため、また別の切迫感を生み出します。
欲望にアピールする―ナイジェリア王子詐欺(ナイジェリアの王子を名乗る人物が、国外逃亡を図るナイジェリアの王族を名乗り、受信者の銀行口座情報または少額の前払い金と引き換えに巨額の金銭的報酬を提供するメール)は、欲望にアピールするソーシャル・エンジニアリングの最もよく知られた例の1つです。この種のソーシャル・エンジニアリング攻撃は、権威者を騙る人物から行われることもあり、人に切迫感を与えることができる非常に強力な組み合わせです。この詐欺はEメールの登場当初から存在する詐欺ですが、2018年の時点でも年間70万米ドルもの被害が出ていました。
有用性や好奇心に訴える―ソーシャル・エンジニアリングの策略は、被害者のより良い性質に訴えることもできます。例えば、友人やソーシャル・ネットワーキング・サイトからと思われるメッセージは、技術的なヘルプを提供したり、アンケートへの参加を求めたり、受信者の投稿がウイルスに感染したと主張したり、偽のWebサイトやマルウェアのダウンロードへのなりすましリンクを提供したりします。
フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。
フィッシング詐欺にはさまざまな種類があります。
一括フィッシング・メールは一度に数百万の受信者に送信されます。このメールは、国営または世界的な銀行、大規模なオンライン小売業者、人気のあるオンライン決済プロバイダーなど、有名な大企業や組織から送信されているように見せかけます。Eメールでは、「購入手続きがうまくいかないため、クレジットカード情報を更新してください」といった一般的な要求を行います。多くの場合、これらのメッセージには、受信者を偽のWebサイトに誘導し、受信者のユーザー名、パスワード、クレジットカード情報などを取得する悪意のあるリンクが含まれています。
スピア・フィッシングは、特定の個人をターゲットにしており、通常、ユーザー情報、コンピューター・ネットワーク、または企業資金への特権的なアクセス権を持っています。詐欺師はターゲットを調査し、多くの場合、LinkedInやFacebook、その他のソーシャル・メディアで見つけた情報を使って、ターゲットが知っていて信頼している人物からのメッセージに見せかけたり、ターゲットがよく知っている状況に言及したりします。ホエール・フィッシングは、CEOや政治家など、知名度の高い個人をターゲットにしたスピア・フィッシング攻撃です。ビジネス・メール詐欺(BEC)では、ハッカーは漏洩した資格証情報を使用して、権威ある人物の実際のメール・アカウントからメール・メッセージを送信するため、詐欺の発見がより困難になります。
ボイス・フィッシング(ビッシング)は、電話を介して行われるフィッシングです。通常、個人は、FBIだと主張する録音された通話による脅迫の形でビッシングを経験します。
SMSフィッシング(スミッシング)とは、テキスト・メッセージを使ったフィッシングのことです。
検索エンジン・フィッシングでは、ハッカーが人気の検索語の検索結果で上位にランクされる悪意のあるWebサイトを作成します。
アングラー・フィッシングは、信頼できる企業のカスタマー・サービスまたはカスタマー・サポート・チームの公式アカウントを装った偽のソーシャル・メディア・アカウントを介したフィッシングです。
「IBM X-Force Threat Intelligence Index」によると、フィッシングは主要なマルウェア感染経路であり、すべてのインシデントの41%で特定されています。また、「データ侵害コスト・レポート」によると、フィッシングは最もコストの大きなデータ侵害につながる最初の攻撃ベクトルです。
ベイティングとは、価値のあるオファーや貴重な物品で被害者を誘惑することにより、故意または無意識に機密情報を提供させたり、悪意のあるコードをダウンロードするように被害者を誘導することです。
ナイジェリア王子詐欺は、おそらくこのソーシャル・エンジニアリング手法の最もよく知られた例です。最近では、「無料」という言葉で被害者を誘い、マルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードさせることが挙げられます。しかし、ベイティングには、極めて原始的な形で行われるものもあります。例えば一部の脅威アクターのように、マルウェアに感染させたUSBドライブを公共の場所に放置し、拾った人に「USBメモリーを拾えてラッキー」と思わせて、それを使うように誘います。
テールゲーティング(別名「ピギーバッキング」)とは、許可されていない人が許可された人の後を追って、機密情報や貴重な資産が含まれるエリアに侵入することです。テールゲーティングでは、攻撃者が鍵のかかっていないドアを通って従業員を追跡するなど、物理的に行うことができます。また、個人のアカウントやネットワークにログインしたままのコンピューターから目を離すなど、デジタル戦術である場合もあります。
プリテキスティングでは、脅威アクターは被害者に対して偽の状況を作り出し、それを解決する適切な人物を装います。詐欺師はしばしば(そして最も皮肉なことに)、被害者がセキュリティー侵害の影響を受けていると主張し、被害者が重要なアカウント情報を提供したり、被害者のコンピューターやデバイスをコントロールさせくれるのであれば、事態を解決すると申し出ます。厳密に言えば、ほぼすべてのソーシャル・エンジニアリング攻撃には、ある程度のプリテキスティングが含まれています。
クイド・プロ・クオ
クイド・プロ・クオでは、ハッカーは被害者の機密情報と引き換えに価値のある商品やサービスをちらつかせます。偽のコンテストの賞金や、一見無害なロイヤルティ報酬(例えば、「お支払いありがとうございます。プレゼントを用意しています」)は、クイド・プロ・クオの策略の一例です。
スケアウェア
スケアウェアはマルウェアの一種とも考えられており、恐怖を利用して人々を誘導し、機密情報を共有させたり、マルウェアをダウンロードさせたりするソフトウェアです。スケアウェアは、ユーザーの犯罪を告発する偽の法執行通知や、ユーザーのデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとることがよくあります。
水飲み場型攻撃
ターゲットが頻繁にアクセスする正規のWebページに、ハッカーが悪意のあるコードを挿入するこの攻撃は、「誰かが水飲み場に毒を入れた」というフレーズが語源なっています。水飲み場型攻撃は、認証情報の盗難から意図せぬドライブバイ・ランサムウェアのダウンロードまで、あらゆる被害を引き起こします。
ソーシャル・エンジニアリング攻撃は、技術的経路ではなく人間の心理に依存しているため、防ぐのが難しいことで知られています。攻撃領域も広大であり、大規模な組織では、たった1人の従業員のミスで企業ネットワーク全体の完全性が損なわれることもあります。ソーシャル・エンジニアリング詐欺のリスクを軽減し、成功させないようにするために専門家が推奨する手順には、次のようなものがあります。
セキュリティー意識向上トレーニング―多くのユーザーは、ソーシャル・エンジニアリング攻撃を特定する方法を知りません。さらに商品やサービス、そして個人情報を頻繁にやり取りするこの時代に、電話番号や生年月日など一見ありふれた情報を明け渡すことで、ハッカーがアカウントを侵害できる可能性があることに気づいていません。セキュリティー意識向上トレーニングは、データ・セキュリティー・ポリシーと組み合わせることで、従業員が機密データを保護する方法や、進行中のソーシャル・エンジニアリング攻撃を検出して対応する方法を理解するのに役立ちます。
アクセス制御ポリシー―多要素認証、適応型認証、ゼロトラスト・セキュリティー・アプローチなど、セキュアなアクセス制御ポリシーとテクノロジーによって、たとえユーザーのログイン認証情報を入手したとしても、サイバー犯罪者による企業ネットワーク上の機密情報や資産へのアクセスを制限することができます。
サイバーセキュリティー・テクノロジー:スパム・フィルターとセキュアなEメール・ゲートウェイは、そもそも一部のフィッシング攻撃が従業員に届くのを防ぐことができます。ファイアウォールとアンチウイルス・ソフトウェアは、ネットワークにアクセスした攻撃者による被害の程度を軽減できます。オペレーティング・システムを最新のパッチで最新の状態に保つことで、攻撃者がソーシャル・エンジニアリングを通じて悪用する一部の脆弱性を阻止することもできます。さらに、エンドポイント検出および対応 (EDR)や拡張検出および対応 (XDR)などの高度な検出および対応ソリューションは、ソーシャル・エンジニアリング戦術を通じてネットワークに感染するセキュリティーの脅威をセキュリティー・チームが迅速に検出して無力化するのに役立ちます。