目次
サイバーセキュリティ戦略における最大の弱点は「人」であり、ソーシャル エンジニアリングはターゲットとなるユーザーが攻撃を見抜くことができないことを利用します。ソーシャル エンジニアリングの脅威では、攻撃者は人間の感情(通常は恐怖や緊急性)を利用して、攻撃者への送金、顧客の機密情報の漏洩、認証情報の開示などのアクションをターゲットに実行させるよう仕向けます。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
ソーシャル エンジニアリングの歴史
サイバーセキュリティの世界では、ユーザーを騙して機密情報を流出させることは、新しいことではありません。変わったのは、攻撃の手法や情報を得るためのステップ、 フィッシングなど他の脅威を取り入れた組織的なグループによる高度な攻撃だけです。ソーシャルエンジニアリングという言葉は、1894年にオランダの実業家JC Van Markenによって初めて使われましたが、1990年代以降、サイバー攻撃の手法の1つとして使われるようになりました。
1990年代には、ソーシャルエンジニアリングは、ユーザーに電話をかけて認証情報を漏らさせたり、脅威アクターが企業内のサーバーに接続するための固定電話のダイヤルをユーザーから提供させたりするものでした。現在では、攻撃者はソーシャルエンジニアリングを利用して、ターゲットとなるユーザーを騙し、海外の銀行口座に数百万ドルを送金させ、組織に損害を与えています。また、このような被害が発生した後、従業員が職を失うケースもあります。
ソーシャルエンジニアリング攻撃の手法
ソーシャル エンジニアリングとフィッシングの境界線は曖昧で、高度な攻撃では通常、両者は密接に関係しています。ソーシャル エンジニアリングでは、通常、正規の社員(CFOやCEOなど)になりすましたり、社員を騙して攻撃者を正規の顧客と思わせて、社員から攻撃者に機密情報を提供させたり、アカウントの機能を変更させたり(SIMスワッピングなど)することが行われます。
攻撃者の目的が何であれ、ソーシャルエンジニアリングによるコミュニケーションであることを示す明確な特徴がいくつかあります。ソーシャル エンジニアリングの主要な手法の1つは、ターゲットとなるユーザーの恐怖心や感情を利用することです。攻撃者は、ターゲットとなるユーザーがリクエストを熟考することを望んでいないため、ソーシャル エンジニアリングでは、恐怖や切迫感を利用することになります。
ソーシャルエンジニアリング攻撃には、以下のような共通点があります。
- 感情の揺さぶり: 攻撃者は、ユーザーを騙して認証情報を提供させるためにアカウントの喪失を脅したり、失職を恐れる従業員に危機感を植え付けるために、標的のユーザーに金銭を要求する重役のふりをしたりします。
- 送信者アドレスの詐称: ほとんどのユーザーは、送信者アドレスが詐称されていることに気づいていませんが、適切なメールセキュリティによって、詐称された送信者がターゲットユーザーの受信トレイにアクセスするのを阻止することができます。攻撃者は公式ドメインに似たドメインを登録し、標的のユーザーがスペルの間違いに気づかないことを期待します。
- 怪しい友達リクエスト: 攻撃者がメールアカウントを侵害し、被害者の連絡先リストに悪意のあるメッセージを送りつけることは、珍しいことではありません。このようなメッセージは、通常、短いものであり、友人からのパーソナライズされた要素がないため、メッセージがパーソナライズされたコミュニケーションに見えない場合は、友人からのリンクをクリックしないでください。
- 専門的でないウェブサイトへのリンク: フィッシングのリンクは、ソーシャル エンジニアリングによってユーザーを騙し、機密情報を漏えいさせるために使用されることがあります。たとえ公式サイト(PayPalなど)のように見えても、Eメールのリンクから直接ウェブサイトに認証情報を入力することは絶対に避けてください。
- うまい話: 詐欺師は、しばしば金銭的な補償を約束します。例えば、ターゲットとなったユーザーが、送料の支払いと引き換えにiPhoneを無料で手に入れることができるなどです。あまりにも話がうますぎる場合は、詐欺である可能性が高いです。
- 悪質な添付ファイル: 標的のユーザーを騙して個人情報を流出させる代わりに、メールの添付ファイルを使って企業のデバイスにマルウェアをインストールさせるような巧妙な攻撃が行われることがあります。一見、無害に見えるメールだとしても、添付されているファイルのマクロや実行ファイルを実行するのは絶対にやめましょう。
- 返答の拒否: 不審なメッセージには返信し、送信者に身分を明かしてもらうようにしましょう。攻撃者は身元を明かすことを避け、その要求を無視する可能性があります。
ソーシャル エンジニアリング攻撃の手口
ソーシャル エンジニアリングで用いられる全体的な手法は、感情を利用してユーザーを騙すことですが、攻撃者はいくつかの一般的な手口を用いて、ユーザーにある行動(例えば、銀行口座への送金)を行わせ、攻撃をより正当なものに見せかけることができます。通常、音声による会話なしで利用できるため、電子メールやテキストメッセージを使ったテクニックが用いられます。
一般的な手口としては、以下のようなものがあります。
- フィッシング: ソーシャル エンジニアリングにより、通常、攻撃者は企業の幹部を装い、ユーザーを騙して海外の銀行口座に送金させます。
- ビッシングとスミッシング: 攻撃者は、テキストメッセージや音声変換ソフトウェアを使用して、SMSメッセージを送信したり、ユーザーにロボコールをかけたりします。メッセージは通常、支払いと引き換えに贈り物やサービスを約束します。このような詐欺は、ビッシング (ボイス フィッシング)、スミッシング (SMS フィッシング)と呼ばれています。
- CEO(エグゼクティブ)詐欺: 攻撃者はCEOや他の役員になりすまし、標的となる従業員が行動を起こすよう危機感を煽ります。CEO詐欺とも呼ばれます。
- ベイティング: 攻撃者は、少額の支払いと引き換えに、賞品や金銭を約束するのが一般的です。通常、このオファーはあまりにも魅力的であり、支払いは通常、送料やその他の費用負担のためです。
- テールゲーティングまたはピギーバック: セキュリティ・スキャナーを使用して、敷地内への不正なアクセスをブロックしている企業では、攻撃者は、テールゲーティングやピギーバッキングを使い、ユーザーを騙して自分のアクセスカードを使わせ、攻撃者に敷地内への物理的なアクセスを与えます。
- 見返り: 不満を持つ従業員が、金銭やその他の約束と引き換えに、攻撃者に機密情報を提供するよう仕向けられる可能性があります。
ソーシャルエンジニアリング攻撃の例
ソーシャル エンジニアリング攻撃を見破るには、それがどのようなものであるかを知ることが重要です。ソーシャル エンジニアリング攻撃は、ターゲットとなる被害者の感情を利用して行われますが、脅威アクターの目的に関わらず、いくつかの共通した要素があります。攻撃者の目的は、通常、ユーザーを騙して金銭を送金させることに集約されます。
一般的なソーシャルエンジニアリングのシナリオをいくつか紹介します。
- ベイティング: 攻撃者は、被害者がお金を払えば多額の報酬が得られるという「おとり」を提供します。この報酬は、宝くじの当選金や、少額の配送料と引き換えに無料で提供される賞品である可能性があります。また、実在しないキャンペーンへの寄付を要求することもあります。
- 聞かれたことのない質問に回答: 標的の被害者は質問を含んだメールを受信します。しかし、その質問は、個人情報を尋ねたり、悪意のあるウェブサイトへのリンクを含んでいたり、マルウェアの添付ファイルを含んでいたりします。
- 金銭や口座の損失を脅したり、起訴を予告: ソーシャル エンジニアリングにおいて恐怖心は有効な手段であり、攻撃者の要求に従わなければ金銭的損失や刑務所行きになることを伝えることは、ユーザーを騙す効果的な方法です。
- CEO詐欺: 上司や役員を装って、被害者に緊迫感を与え、銀行口座に送金するように仕向けます。
ソーシャルエンジニアリング対策
知識のあるユーザーなら、いくつかのルールに従って、被害に遭わないよう必要な措置を取ることができます。メール送信者の身元を確認したり、電話でのやり取りの場合は質問をするなど、ゆっくり時間をかけて対応することが大切です。実践すべき対策は以下の通りです。
- 返事をする前に調査する: その詐欺が一般的なものであれば、ネット上で他の人がそのソーシャル エンジニアリングの方法について記載しているのを見つけることができます。
- リンクからウェブページにアクセスしない: メールの送信者が公式な企業からのものだと主張する場合、リンクをクリックして認証しないことが重要です。その代わり、ブラウザに公式ドメインを入力して、アクセスするようにしましょう。
- 友人からの怪しい行動に注意する: 攻撃者は、盗んだメールアカウントを使ってユーザーを騙すことがあります。連絡がほとんどこない友人から送られてくる連絡で、ウェブサイトへのリンクがあるメールが送られてきた場合は疑うべきです。
- ファイルをダウンロードしない: 緊急にファイルをダウンロードするように要求された場合、その要求を無視するか、その要求が正当なものであることを確認するためにサポートを求めてください。
企業のソーシャルエンジニアリング対策
企業もソーシャル エンジニアリングのターゲットになるため、従業員はその兆候に気付き、攻撃を阻止するために必要な措置を講じる必要があります。従業員を教育するのは組織の責任です。以下の手順に従って、進行中のソーシャル エンジニアリング攻撃を特定するためのツールを従業員に提供してください。
- 公開されるデータを意識する: ソーシャルメディアであれ、Eメールであれ、従業員はそのデータが機密であるかどうかを知っておく必要があります。
- 重要な情報を特定する: 個人識別情報( Personally identifiable information / PII)は決して第三者と共有すべきではありませんが、従業員はどのようなデータがPIIと見なされるかを知っておく必要があります。
- ポリシーを利用してユーザーを教育する: ポリシーを導入することで、ユーザーは不正な要求に対処し、進行中のソーシャル エンジニアリング攻撃を報告するために必要な情報を得ることができます。
- マルウェア (ウイルス) 対策ソフトを常に最新の状態に保つ: 万が一、従業員が悪意のあるソフトウェアをダウンロードしても、ほとんどの場合、マルウェア対策ソフトがそれを検知して阻止してくれます。
- データを要求されたら、疑ってかかる: データ提供の依頼は、慎重に引き受ける必要があります。質問をして、送信者の身元を確認した上で、その要求に応じましょう。
- 従業員を教育する: ソーシャル エンジニアリングの実例を紹介するトレーニングを実施します。
Proofpointのソーシャルエンジニアリング対策
Proofpoint は、ソーシャル エンジニアリング攻撃が人間の感情やミスをターゲットにした非常に効果的なものであることを理解しています。Proofpoint では、ソーシャルエンジニアリングや、これらの攻撃と連動するフィッシングメールを従業員が識別できるようにするためのセキュリティ啓発のためのトレーニングと教育プログラムを用意しています。
Proofpoint は、最も巧妙な攻撃に備え、対応に必要なツールをユーザーに提供します。実際の事例をもとに、ソーシャル エンジニアリングを特定し、組織の定めるセキュリティポリシーに従って対応できるよう準備します。