ソーシャル・エンジニアリングとは、人々を巧みに操ることで、情報の共有、ソフトウェアのダウンロード、ウェブサイトへの訪問、犯罪者への送金、個人または組織のセキュリティーを危険にさらすミスを犯させる攻撃のことです。
同僚を装った人物からの機密情報を要求するEメール、国税庁の名を語った脅迫的なボイスメール、外国の有力者からの金銭の提供など、これらはソーシャル・エンジニアリングのほんの一例にすぎません。ソーシャル・エンジニアリングは心理操作を使用し、技術的またはデジタル・システムの脆弱性ではなく、人間のミスや弱点を利用するため、「ヒューマン・ハッキング」と呼ばれることもあります。
サイバー犯罪者は、ソーシャル・エンジニアリング戦術を頻繁に使用して、個人データや財務情報(ログイン認証情報、クレジット・カード番号、銀行口座番号、社会保障番号)を取得し、ID盗用に使用します。それによって、他人のお金やクレジットを使用して購入したり、他人の名前でローンを借りたり、他人の失業手当を申請したりできてしまいます。しかし、ソーシャル・エンジニアリング攻撃は、大規模なサイバー攻撃の第1段階となる可能性もあります。たとえば、サイバー犯罪者は被害者を騙してユーザー名とパスワードを共有させ、それらの認証情報を使用して被害者の雇用主のネットワークにランサムウェアを仕掛ける可能性があります。
ソーシャル・エンジニアリングがサイバー犯罪者にとって魅力的なのは、ファイアウォール、アンチウイルス・ソフトウェア、その他のサイバーセキュリティー・コントロールの難しい技術的作業を行うことなく、デジタル・ネットワーク、デバイス、アカウントにアクセスできるからです。ISACAの「State of Cybersecurity 2022レポート」 (ibm.com外部へのリンク)によると、ソーシャル・エンジニアリングが今日のネットワーク侵害の主要な原因となっている理由の1つはここにあります。また、IBMの「2024年度データ侵害コスト・レポート」によると、ソーシャル・エンジニアリングの手口(フィッシングやビジネス・メール詐欺など)による侵害は、最もコストが大きいものの1つでした。
IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
データ侵害のコストに関する調査に登録する
ソーシャル・エンジニアリングの施策とテクニックは、人間の動機の科学に基づいています。犯罪者たちは、証明された人を行動に駆り立てる方法で、被害者の感情や本能を操作します。
多くのソーシャル・エンジニアリング攻撃では、次の戦術が使用されます。
信頼できるブランドを装う―詐欺師は、被害者が信頼し、頻繁に、あるいは定期的に取引している企業に「なりすます」ことが多いようです。そのような企業とは、定期的に取引しているため、安心しきっており、反射的にそのブランドからの指示に従ってしまうのです。ソーシャル・エンジニアリング詐欺師の中には、広く入手可能なキットを使用して、大手ブランドや企業に似た偽のWebサイトを作成する者もいます。
政府機関または権威者を装う―程度はさまざまですが、一般的に人はある程度権威を信頼し、尊敬し、あるいは恐れの気持ちを持っています。ソーシャル・エンジニアリング攻撃は、政府機関(FBIやIRSなど)、政治家、または有名人から送信されたと思わせるメッセージ、またはそれらを名乗るメッセージによって、これらの本能を利用します。
恐怖や切迫感を誘発する―人は恐怖や切迫感を感じる時、軽率な行動をとる傾向があります。ソーシャル・エンジニアリング詐欺は、被害者にそのような恐怖や緊急性を誘発するためにさまざまな手法を使用します。被害者に、最近のクレジット取引が承認されなかった、コンピューターがウイルスに感染した、またWebサイトで使用している画像が著作権を侵害している、などと伝えることによってその感情を起こさせます。ソーシャル・エンジニアリングは、被害者に対して、取り残されることへの不安(FOMO)を煽ることもできるため、また別の切迫感を生み出します。
欲望にアピールする―ナイジェリア王子詐欺(ナイジェリアの王子を名乗る人物が、国外逃亡を図るナイジェリアの王族を名乗り、受信者の銀行口座情報または少額の前払い金と引き換えに巨額の金銭的報酬を提供するメール)は、欲望にアピールするソーシャル・エンジニアリングの最もよく知られた例の1つです。この種のソーシャル・エンジニアリング攻撃は、権威者を騙る人物から行われることもあり、人に切迫感を与えることができる非常に強力な組み合わせです。この詐欺はEメールの登場当初から存在する詐欺ですが、2018年の時点でも年間70万米ドルもの被害が出ていました。
有用性や好奇心に訴える―ソーシャル・エンジニアリングの策略は、被害者のより良い性質に訴えることもできます。例えば、友人やソーシャル・ネットワーキング・サイトからと思われるメッセージは、技術的なヘルプを提供したり、アンケートへの参加を求めたり、受信者の投稿がウイルスに感染したと主張したり、偽のWebサイトやマルウェアのダウンロードへのなりすましリンクを提供したりします。
フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。
フィッシング詐欺にはさまざまな種類があります。
一括フィッシング・メールは一度に数百万の受信者に送信されます。このメールは、国営または世界的な銀行、大規模なオンライン小売業者、人気のオンライン支払いプロバイダーなど、有名な大企業や組織からの送信を装い、「購入手続きがうまくいかないため、クレジットカード情報を更新してください」といった一般的な要求を行います。多くの場合これらのメールは、ユーザー名、パスワード、クレジットカード情報などを取得するための、悪意あるリンクが含まれた偽のWebサイトに受信者を誘導します。
スピア・フィッシングは、特定の個人をターゲットにしており、通常、ユーザー情報、コンピューター・ネットワーク、または企業資金への特権的なアクセス権を持っています。詐欺師はターゲットを調査し、多くの場合、LinkedIn、Facebookなどのソーシャル・メディアで見つけた情報を使って、ターゲットが知っていて信頼している人物からのメッセージに見せかけたり、ターゲットがよく知っている状況に言及したりします。ホエール・フィッシングは、CEOや政治家など、知名度の高い個人をターゲットにしたスピア・フィッシング攻撃です。ビジネス・メール詐欺(BEC)では、ハッカーは漏洩した認証情報を使用して、権威ある人物の実際のメール・アカウントからメール・メッセージを送信するため、詐欺の発見がより困難になります。
ボイス・フィッシング(ビッシング)は、電話を介して行われるフィッシングです。通常、個人は、FBIからだと主張する録音された通話による脅迫の形でビッシングを経験します。
SMSフィッシング(スミッシング)とは、テキスト・メッセージを使ったフィッシングのことです。
検索エンジン・フィッシングは、ハッカーが検索結果で上位にランクされるための、悪意のあるWebサイトを作成します。
アングラー・フィッシングは、信頼できる企業のカスタマー・サービスまたはカスタマー・サポート・チームの公式アカウントを装った偽のソーシャル・メディア・アカウントを介したフィッシングです。
「IBM Security X-Force Threat Intelligence Index 2023」によると、フィッシングは主要なマルウェア感染経路であり、すべてのインシデントの41%で特定されています。また、「2022年度データ侵害コスト・レポート」によると、フィッシングは最もコストの大きなデータ侵害 につながる最初の攻撃ベクトルです。
ベイティングとは、価値のあるオファーや貴重な物品で被害者を誘惑することにより、故意または無意識に機密情報を提供させたり、悪意のあるコードをダウンロードするように被害者を誘導することです。
ナイジェリア王子詐欺は、おそらくこのソーシャル・エンジニアリング手法の最もよく知られた例です。最近では、「無料」という言葉で被害者を誘い、マルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードさせることが挙げられます。しかし、ベイティングには、極めて原始的な形で行われるものもあります。例えば一部の脅威アクターのように、マルウェアに感染させたUSBドライブを公共の場所に放置し、拾った人に「USBメモリーを拾えてラッキー」と思わせて、それを使うように誘います。
テールゲーティング(別名「ピギーバッキング」)とは、許可されていない人が許可された人の後を追って、機密情報や貴重な資産が含まれるエリアに侵入することです。テールゲーティングでは、攻撃者が鍵のかかっていないドアを通って従業員を追跡するなど、物理的に行うことができます。また、個人のアカウントやネットワークにログインしたままのコンピューターから目を離すなど、デジタル戦術である場合もあります。
プリテキスティングでは、脅威アクターは被害者に対して偽の状況を作り出し、それを解決する適切な人物を装います。詐欺師はしばしば(そして最も皮肉なことに)、被害者がセキュリティー侵害の影響を受けていると主張し、被害者が重要なアカウント情報を提供したり、被害者のコンピューターやデバイスをコントロールさせくれるのであれば、事態を解決すると申し出ます。厳密に言えば、ほぼすべてのソーシャル・エンジニアリング攻撃には、ある程度のプリテキスティングが含まれています。
クイド・プロ・クオでは、ハッカーは被害者の機密情報と引き換えに価値のある商品やサービスをちらつかせます。偽のコンテストの賞金や、一見無害なロイヤルティ報酬(例えば、「お支払いありがとうございます。プレゼントを用意しています」)は、クイド・プロ・クオの策略の一例です。
スケアウェアはマルウェアの一種とも考えられており、恐怖を利用して人々を誘導し、機密情報を共有させたり、マルウェアをダウンロードさせたりするソフトウェアのことです。スケアウェアは、ユーザーの犯罪を告発する偽の法執行通知や、ユーザーのデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとることがよくあります。
ターゲットが頻繁にアクセスする正規のWebページに、ハッカーが悪意のあるコードを挿入するこの攻撃は、「誰かが水飲み場に毒を入れた」というフレーズが語源なっています。水飲み場型攻撃は、認証情報の盗難から意図せぬドライブバイ・ランサムウェアのダウンロードまで、あらゆる被害を引き起こします。
ソーシャル・エンジニアリング攻撃は、技術的経路ではなく人間の心理に依存しているため、防ぐのが難しいことで知られています。攻撃領域も大きく、大規模な組織では、たった1人の従業員のミスで企業ネットワーク全体の完全性が損なわれてしまいます。ソーシャル・エンジニアリング詐欺のリスクを軽減し、成功させないようにするために専門家が推奨する手順には、次のようなものがあります。
セキュリティー意識向上トレーニング―多くのユーザーは、ソーシャル・エンジニアリング攻撃を特定する方法を知りません。そして、ユーザーが商品やサービスと個人情報を頻繁に交換する時代に、電話番号や生年月日などの一見ありふれた情報を手渡すと、ハッカーがアカウントを侵害できる可能性があることに気づいていません。セキュリティー意識向上トレーニングは、 データ・セキュリティー・ ポリシーと組み合わせることで、従業員が機密データを保護する方法や、進行中のソーシャル・エンジニアリング攻撃を検知して対応する方法を理解するのに役立ちます。
アクセス制御ポリシー―多要素認証、適応型認証、ゼロトラスト・セキュリティー・アプローチなど、セキュアなアクセス制御ポリシーとテクノロジーによって、たとえユーザーのログイン認証情報を入手したとしても、サイバー犯罪者による企業ネットワーク上の機密情報や資産へのアクセスを制限することができます。
サイバーセキュリティー・テクノロジー: スパム・フィルターとセキュアなEメール・ゲートウェイは、そもそも一部のフィッシング攻撃が従業員に届くのを防ぐことができます。ファイアウォールとアンチウイルス・ソフトウェアは、ネットワークにアクセスした攻撃者による被害の程度を軽減できます。オペレーティング・システムを最新のパッチで最新の状態に保つことで、攻撃者がソーシャル・エンジニアリングを通じて悪用する一部の脆弱性を阻止することもできます。さらに、エンドポイントの検知と対応 (EDR) や 拡張された検知と対応 (XDR) などの高度な検知と対応ソリューションは、ソーシャル・エンジニアリング戦術を通じてネットワークに感染するセキュリティーの脅威をセキュリティー・チームが迅速に検知して無力化するのに役立ちます。
フィッシング、ビッシング、などの物理的なソーシャル・エンジニアリングの演習を通じて従業員をテストします。従業員やプロセス、ポリシーの脆弱性を明らかにすることで、実際のソーシャル・エンジニアリング攻撃にさらされるリスクを軽減します。
最も重要な資産を攻撃にさらす脆弱性を発見して修正するために、アプリケーション、ネットワーク、ハードウェア、担当者にテキスト・メッセージを送信します。X-Force Red Portalを使用すると、修復に携わるすべての人がテスト結果を即座に確認し、都合の良いときにセキュリティー・テストをスケジュールできます。
データ侵害を防ぐ最善の方法は、なぜそれが起こっているのかを理解することです。データ侵害のコストに関するレポートでは、拡大する脅威の全貌に関する最新の洞察を共有し、時間を節約し損失を制限する方法についての推奨事項を提供しています。
CISO(セキュリティーチームとビジネス・リーダー): 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するための実行可能なインサイトをご覧ください。
フィッシング詐欺は、被害者を騙して機密データを漏洩させたり、マルウェアをダウンロードさせることで、被害者自身や組織をサイバー犯罪行為にさらします。
多要素認証がどのようにセキュリティーを強化し、法規制への適合要件を満たし、ゼロトラスト・セキュリティー戦略をサポートするかを学びます。