用語集
ソーシャルエンジニアリングとは?攻撃の手口と対策

ソーシャルエンジニアリングとは?攻撃の手口と対策

セキュリティ意識向上トレーニングの無料トライアル 2022 年ソーシャル エンジニアリング レポート

目次

サイバーセキュリティ戦略における最大の弱点は「人」であり、ソーシャル エンジニアリングはターゲットとなるユーザーが攻撃を見抜くことができないことを利用します。ソーシャル エンジニアリングの脅威では、攻撃者は人間の感情(通常は恐怖や緊急性)を利用して、攻撃者への送金、顧客の機密情報の漏洩、認証情報の開示などのアクションをターゲットに実行させるよう仕向けます。

重要ポイント

  • ソーシャル エンジニアリングは、サイバー攻撃の98%を占める違法行為です。
  • ソーシャル エンジニアリング手法の特徴は、攻撃者が既知の人物や正当な組織を装って被害者に機密情報を明かすよう強要することです。
  • フィッシング攻撃による個人情報窃盗は、最も一般的なソーシャル エンジニアリングの形態です。
  • データ侵害の70%以上は、フィッシングまたはソーシャル エンジニアリング攻撃から始まります。
  • アカウントの多要素認証の設定から、不審な行動を識別するための従業員トレーニングまで、ソーシャルエンジニアリングを回避するためのいくつかの防止戦略を採用できます。

サイバーセキュリティ教育とトレーニングを始めましょう

無料トライアルを始める

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

ソーシャルエンジニアリングの歴史

サイバーセキュリティの世界では、ユーザーを騙して機密情報を流出させることは、新しいことではありません。変わったのは、攻撃の手法や情報を得るためのステップ、 フィッシングなど他の脅威を取り入れた組織的なグループによる高度な攻撃だけです。ソーシャルエンジニアリングという言葉は、1894年にオランダの実業家JC Van Markenによって初めて使われましたが、1990年代以降、サイバー攻撃の手法の1つとして使われるようになりました。

1990年代には、ソーシャルエンジニアリングは、ユーザーに電話をかけて認証情報を漏らさせたり、脅威アクターが企業内のサーバーに接続するための固定電話のダイヤルをユーザーから提供させたりするものでした。現在では、攻撃者はソーシャルエンジニアリングを利用して、ターゲットとなるユーザーを騙し、海外の銀行口座に数百万ドルを送金させ、組織に損害を与えています。また、このような被害が発生した後、従業員が職を失うケースもあります。

ソーシャルエンジニアリングとは?

サイバーセキュリティの文脈では、ソーシャル エンジニアリングとは、被害者を操作、影響、または欺いて機密情報を漏らしたり、個人情報や金融情報を開示したり、コンピュータシステムの制御権を引き渡したりするような不適切な行動を実行させるために使用される手法を指します。

悪意のある科学として、ソーシャル エンジニアリングは心理的操作、説得、および搾取を使用して、ユーザーをセキュリティ上の間違いを犯したり、機密情報を明け渡したりするよう欺きます。ソーシャル エンジニアリング攻撃は人間の相互作用に依存し、多くの場合、被害者を騙して通常のセキュリティ手順を破らせることを伴います。例えば、ソーシャル エンジニアリング攻撃は、他者を信頼する、あるいは餌として機能する新しいオファーや情報に対する好奇心を探る人間の傾向に基づいているため、非常に効果的になり得ます。

ソーシャルエンジニアリング攻撃の手法

ソーシャル エンジニアリングとフィッシングの境界線は曖昧で、高度な攻撃では通常、両者は密接に関係しています。ソーシャル エンジニアリングでは、通常、正規の社員(CFOやCEOなど)になりすましたり、社員を騙して攻撃者を正規の顧客と思わせて、社員から攻撃者に機密情報を提供させたり、アカウントの機能を変更させたり(SIMスワッピングなど)することが行われます。

攻撃者の目的が何であれ、ソーシャルエンジニアリングによるコミュニケーションであることを示す明確な特徴がいくつかあります。ソーシャル エンジニアリングの主要な手法の1つは、ターゲットとなるユーザーの恐怖心や感情を利用することです。攻撃者は、ターゲットとなるユーザーがリクエストを熟考することを望んでいないため、ソーシャル エンジニアリングでは、恐怖や切迫感を利用することになります。

ソーシャルエンジニアリング攻撃には、以下のような共通点があります。

  • 感情の揺さぶり: 攻撃者は、ユーザーを騙して認証情報を提供させるためにアカウントの喪失を脅したり、失職を恐れる従業員に危機感を植え付けるために、標的のユーザーに金銭を要求する重役のふりをしたりします。
  • 送信者アドレスの詐称: ほとんどのユーザーは、送信者アドレスが詐称されていることに気づいていませんが、適切なメールセキュリティによって、詐称された送信者がターゲットユーザーの受信トレイにアクセスするのを阻止することができます。攻撃者は公式ドメインに似たドメインを登録し、標的のユーザーがスペルの間違いに気づかないことを期待します。
  • 怪しい友達リクエスト: 攻撃者がメールアカウントを侵害し、被害者の連絡先リストに悪意のあるメッセージを送りつけることは、珍しいことではありません。このようなメッセージは、通常、短いものであり、友人からのパーソナライズされた要素がないため、メッセージがパーソナライズされたコミュニケーションに見えない場合は、友人からのリンクをクリックしないでください。
  • 専門的でないウェブサイトへのリンク: フィッシングのリンクは、ソーシャル エンジニアリングによってユーザーを騙し、機密情報を漏えいさせるために使用されることがあります。たとえ公式サイト(PayPalなど)のように見えても、Eメールのリンクから直接ウェブサイトに認証情報を入力することは絶対に避けてください。
  • うまい話: 詐欺師は、しばしば金銭的な補償を約束します。例えば、ターゲットとなったユーザーが、送料の支払いと引き換えにiPhoneを無料で手に入れることができるなどです。あまりにも話がうますぎる場合は、詐欺である可能性が高いです。
  • 悪質な添付ファイル: 標的のユーザーを騙して個人情報を流出させる代わりに、メールの添付ファイルを使って企業のデバイスにマルウェアをインストールさせるような巧妙な攻撃が行われることがあります。一見、無害に見えるメールだとしても、添付されているファイルのマクロや実行ファイルを実行するのは絶対にやめましょう。
  • 不審な送信者: 多くのソーシャル エンジニアリング手法は、友人、上司、同僚などの身近な情報源を模倣するように設計されています。不審なメールを受け取った場合は、常に確認し、「この上司/友人/同僚が実際に私に送ったのか?」と自問してください。問題のメールに返信する前に、電話、テキスト、またはソーシャルメディア メッセージで実際の人物に連絡し、なりすまされているかどうかを確認してください。
  • 返答の拒否: 不審なメッセージには返信し、送信者に身分を明かしてもらうようにしましょう。攻撃者は身元を明かすことを避け、その要求を無視する可能性があります。
  • 身元不明の送信者: 送信者が組織との身元を確認できない、または確認する意思がない場合は、要求されている追加情報やアクセスを提供しないでください。メールが最も一般的ですが、これはテキストメッセージ、電話など、他のソーシャル エンジニアリング戦術にも適用されます。

エンジニアリング攻撃の手口

ソーシャル エンジニアリングで用いられる全体的な手法は、感情を利用してユーザーを騙すことですが、攻撃者はいくつかの一般的な手口を用いて、ユーザーにある行動(例えば、銀行口座への送金)を行わせ、攻撃をより正当なものに見せかけることができます。通常、音声による会話なしで利用できるため、電子メールやテキストメッセージを使ったテクニックが用いられます。

一般的な手口としては、以下のようなものがあります。

  • フィッシング: ソーシャル エンジニアリングにより、通常、攻撃者は企業の幹部を装い、ユーザーを騙して海外の銀行口座に送金させます。
  • ビッシングとスミッシング: 攻撃者は、テキストメッセージや音声変換ソフトウェアを使用して、SMSメッセージを送信したり、ユーザーにロボコールをかけたりします。メッセージは通常、支払いと引き換えに贈り物やサービスを約束します。このような詐欺は、ビッシング (ボイス フィッシング)スミッシング (SMS フィッシング)と呼ばれています。
  • CEO(エグゼクティブ)詐欺: 攻撃者はCEOや他の役員になりすまし、標的となる従業員が行動を起こすよう危機感を煽ります。CEO詐欺とも呼ばれます。
  • ベイティング: 攻撃者は、少額の支払いと引き換えに、賞品や金銭を約束するのが一般的です。通常、このオファーはあまりにも魅力的であり、支払いは通常、送料やその他の費用負担のためです。
  • プリテキスティング: 攻撃者は機密情報やシステムへのアクセスを得るために偽のプリテキスト(口実)を作り出すことがあります。例えば、攻撃者は銀行窓口担当者になりすまして標的となる個人に連絡し、アカウントに不審な活動があったと主張し、アカウントを確認するために機密情報を共有するよう求めることがあります。
  • テールゲーティングまたはピギーバック: セキュリティ・スキャナーを使用して、敷地内への不正なアクセスをブロックしている企業では、攻撃者は、テールゲーティングやピギーバッキングを使い、ユーザーを騙して自分のアクセスカードを使わせ、攻撃者に敷地内への物理的なアクセスを与えます。
  • 見返り: 不満を持つ従業員が、金銭やその他の約束と引き換えに、攻撃者に機密情報を提供するよう仕向けられる可能性があります。
  • 水飲み場型攻撃: このソーシャル エンジニアリング攻撃の形態では、グループが訪問する可能性の高いウェブサイトに感染させることで、特定のグループを標的にします。例えば、攻撃者は人気のニュースサイトをマルウェアに感染させ、特定の企業の従業員がそのサイトを訪問して誤ってマルウェアをダウンロードすることを意図することがあります。
  • 尋ねられていない質問への返信: 標的となる被害者は、質問に「返信」するメールを受け取りますが、その返信には個人情報の要求、悪意のあるウェブサイトへのリンク、またはマルウェア添付ファイルが含まれています。
  • 金銭や口座の損失の脅し、または起訴の脅し: 恐怖はソーシャル エンジニアリングにおいて有用なツールであるため、ユーザーを騙す効果的な方法は、攻撃者の要求に従わなければ金銭的損失を被るか刑務所に行くことになると伝えることです。

ソーシャル エンジニアリング攻撃を識別するには、それがどのようなものであるかを知っておくことが重要です。ソーシャル エンジニアリング攻撃は標的となる被害者の感情に働きかけますが、脅威アクターの目標に関係なく、ユーザーを騙して金銭を送金させるなど、いくつかの共通の要素があります。

個人のソーシャルエンジニアリング対策

緊急性は多くのターゲットを混乱させますが、知識のあるユーザーなら、いくつかのルールに従って、被害に遭わないよう必要な措置を取ることができます。メール送信者の身元を確認したり、電話でのやり取りの場合は質問をするなど、ゆっくり時間をかけて対応することが大切です。

実践すべき対策は以下の通りです。

  • 返事をする前に調査する: その詐欺が一般的なものであれば、ネット上で他の人がそのソーシャル エンジニアリングの方法について記載しているのを見つけることができます。
  • リンクからウェブページにアクセスしない: メールの送信者が公式な企業からのものだと主張する場合、リンクをクリックして認証しないことが重要です。その代わり、ブラウザに公式ドメインを入力して、アクセスするようにしましょう。
  • 友人からの怪しい行動に注意する: 攻撃者は、盗んだメールアカウントを使ってユーザーを騙すことがあります。連絡がほとんどこない友人から送られてくる連絡で、ウェブサイトへのリンクがあるメールが送られてきた場合は疑うべきです。
  • ファイルをダウンロードしない: 緊急にファイルをダウンロードするように要求された場合、その要求を無視するか、その要求が正当なものであることを確認するためにサポートを求めてください。

ソーシャルエンジニアリングに関する統計

ソーシャル エンジニアリングは、攻撃者が機密情報へのアクセスを取得できる最も一般的で効果的な方法の一つです。統計によると、フィッシングと組み合わせたソーシャル エンジニアリングは非常に効果的で、組織に何百万ドルもの損害をもたらします。

ソーシャル エンジニアリングに関するいくつかの統計は以下の通りです。

  • ソーシャル エンジニアリングは攻撃の98%を占めています。
  • 2020年には、75%の企業がフィッシングの被害者であったと報告しています。
  • 2020年の最も一般的なサイバーインシデントはフィッシングでした。
  • データ侵害後の平均コストは、記録あたり150ドルです。
  • データ侵害の70%以上はフィッシングまたはソーシャル エンジニアリングから始まります。
  • Googleは2021年に200万以上のフィッシング ウェブサイトを記録しました。
  • フィッシングメールの約43%はMicrosoftのような大企業になりすましています。
  • 企業の60%が成功したフィッシング攻撃後のデータ損失を報告し、標的とされたユーザーの18%がフィッシングの被害に遭っています。

企業のソーシャルエンジニアリング対策

企業もソーシャル エンジニアリングのターゲットになるため、従業員はその兆候に気付き、攻撃を阻止するために必要な措置を講じる必要があります。従業員を教育するのは組織の責任です。以下の手順に従って、進行中のソーシャル エンジニアリング攻撃を特定するためのツールを従業員に提供してください。

  • 公開されるデータを意識する: ソーシャルメディアであれ、Eメールであれ、従業員はそのデータが機密であるかどうかを知っておく必要があります。
  • 重要な情報を特定する: 個人識別情報( Personally identifiable information / PII)は決して第三者と共有すべきではありませんが、従業員はどのようなデータがPIIと見なされるかを知っておく必要があります。
  • ポリシーを利用してユーザーを教育する: ポリシーを導入することで、ユーザーは不正な要求に対処し、進行中のソーシャル エンジニアリング攻撃を報告するために必要な情報を得ることができます。
  • 多要素認証でセキュリティを強化する: 本人確認のための追加層を加えることで、オンラインアカウントをより安全で侵入不可能にすることができます。
  • パスワードを強化し、パスワード マネージャーを使用する: 多様な文字タイプを含む強力でユニークなパスワードを使用することで、解読が困難になります。信頼性の高いパスワード マネージャーもパスワードを安全に管理するのに役立ちます。
  • オンラインでの個人情報を制限する: 通った学校、ペットの名前、またはセキュリティ質問の回答やアクセスパスワードを反映するその他の詳細など、個人情報の共有を避けましょう。
  • デバイスを安全に保ち、手元に置く: 特に空港やコーヒーショップなどの公共の場所では、コンピュータやモバイル デバイスをロックしましょう。盗難防止のためにデバイスを自分の所持下に置いておきましょう。
  • マルウェア (ウイルス) 対策ソフトを常に最新の状態に保つ: 万が一、従業員が悪意のあるソフトウェアをダウンロードしても、ほとんどの場合、マルウェア対策ソフトがそれを検知して阻止してくれます。
  • データを要求されたら、疑ってかかる: データ提供の依頼は、慎重に引き受ける必要があります。質問をして、送信者の身元を確認した上で、その要求に応じましょう。
  • 従業員を教育する: 従業員は助けとなる教育を受けていなければ攻撃を識別できないため、ソーシャル エンジニアリングの実例を示すトレーニングを提供しましょう。

ソーシャルエンジニアリング対策ソリューション

プルーフポイントは、ソーシャル エンジニアリング攻撃が人間の感情やミスをターゲットにした非常に効果的なものであることを理解しています。プルーフポイントでは、ソーシャルエンジニアリングや、これらの攻撃と連動するフィッシングメールを従業員が識別できるようにするためのセキュリティ啓発のためのトレーニングと教育プログラムを用意しています。

プルーフポイントは、最も巧妙な攻撃に備え、対応に必要なツールをユーザーに提供します。実際の事例をもとに、ソーシャル エンジニアリングを特定し、組織の定めるセキュリティポリシーに従って対応できるよう準備します。

ソーシャルエンジニアリングに関するよくある質問

ソーシャルエンジニアリングとは簡単に言うと何ですか?
ソーシャルエンジニアリングはどのように機能しますか?
ソーシャルエンジニアリング攻撃はどのようなステップで行われますか?
最も一般的なソーシャルエンジニアリングの形態は何ですか?
ハッカーの何パーセントがソーシャルエンジニアリングを使用しますか?
ソーシャルエンジニアリングは違法ですか?
ソーシャルエンジニアリングはどれほど一般的ですか?
ソーシャルエンジニアリングは倫理的ですか?
ソーシャルエンジニアリング攻撃の被害はどれくらいですか?

ソーシャルエンジニアリングとは簡単に言うと何ですか?

多くの人は、サイバー脅威をマルウェアやハッカーがソフトウェアの脆弱性を悪用するものと考えています。しかし、ソーシャル エンジニアリングは、攻撃者が馴染みのある人物やサービスを装って、標的ユーザーに機密情報を漏らすよう仕向ける脅威です。攻撃者は標的ユーザーを騙してパスワードを明かさせたり、上級管理職になりすまして標的ユーザーにお金を送金させたりする可能性があります。ソーシャル エンジニアリング キャンペーンにおける攻撃者の目的は様々ですが、一般的に攻撃者はアカウントへのアクセスやユーザーの個人情報の窃取を望んでいます。

ソーシャルエンジニアリングはどのように機能しますか?

脅威アクターは特定の標的を念頭に置いているかもしれませんし、できるだけ多くの個人情報にアクセスするために広範囲に網を張るかもしれません。脅威アクターがソーシャル エンジニアリング攻撃を実行する際の、最初のステップは標的とするユーザーや企業についての詳細な調査を行うことです。例えば、攻撃者は組織のLinkedInページから財務部門スタッフの名前とメールアドレスを収集して、標的となる被害者と標準業務手順を特定することができます。

偵察フェーズはソーシャル エンジニアリング攻撃の成功に不可欠です。攻撃者は企業の組織図を完全に理解し、成功に必要な行動を実行する権限を持つ人物を標的にする必要があります。ほとんどの攻撃では、ソーシャル エンジニアリングは脅威アクターが標的ユーザーの既知の人物になりすますことを含みます。脅威アクターが標的ユーザーについて収集する情報が多いほど、ソーシャル エンジニアリング攻撃が成功する可能性が高くなります。

十分な情報を収集した後、攻撃者は次のステップを実行できるようになります。一部のソーシャル エンジニアリング攻撃では、標的ユーザーの信頼を徐々に構築するために忍耐が必要です。その他の攻撃では、脅威アクターが緊急性を伝えることによって限られた時間内に信頼を獲得する迅速な攻撃もあります。例えば、攻撃者は標的ユーザーに電話をかけ、ITサポート スタッフになりすまして、ユーザーにパスワードを明かすよう騙すかもしれません。

ソーシャルエンジニアリング攻撃はどのようなステップで行われますか?

ほとんどの効果的なサイバー攻撃と同様に、ソーシャル エンジニアリングには特定の戦略が含まれます。攻撃者はユーザーを特定の行動を実行するよう騙すことを目指しているため、各ステップには徹底さが必要です。ソーシャルエンジニアリングには4つのステップがあります。そのステップは以下の通りです。

  • 情報収集:この最初のステップはソーシャル エンジニアリングの成功に不可欠です。攻撃者はニュース記事、LinkedIn、ソーシャルメディア、標的ビジネスウェブサイトなどの公開ソースから情報を収集します。このステップで攻撃者はビジネス部門や手順の内部の仕組みに精通します。
  • 信頼の確立:この時点で、攻撃者は標的ユーザーに連絡します。このステップには会話と説得が必要なので、攻撃者は質問に対応し、標的ユーザーに行動を実行するよう説得する準備ができていなければなりません。攻撃者は友好的であり、標的ユーザーと個人的なレベルでつながろうとするかもしれません。
  • 悪用:攻撃者が標的ユーザーを騙して情報を明かした後、悪用が始まります。攻撃の目的によって悪用は異なりますが、このステップで攻撃者はお金、システムへのアクセス、ファイルの盗難、または企業秘密を取得します。
  • 実行:取得した機密情報を使って、攻撃者は最終目標を実行し、詐欺から脱出できます。脱出戦略には、従業員が騙されたことを管理者に警告する可能性のある標的組織のサイバーセキュリティ コントロールからの検出回避など、痕跡を隠す方法が含まれます。

最も一般的なソーシャルエンジニアリングの形態は何ですか?

 「ソーシャル エンジニアリング」という用語は、多くのサイバー犯罪戦略をカバーする広義の用語です。ソーシャル エンジニアリングは人的ミスを伴うため、攻撃者は内部関係者を標的にします。最も一般的なソーシャル エンジニアリングの形態は、メールメッセージを使用するフィッシングです。フィッシングには、ビッシング(音声)とスミッシング(テキストメッセージ)があります。典型的なフィッシング攻撃では、金銭的利益やデータ窃盗のための情報取得が目的です。

フィッシングメールでは、攻撃者は正当な組織の人物や家族になりすまします。メッセージは単純な返信を求めたり、悪意のあるウェブサイトへのリンクを含んだりすることがあります。フィッシング キャンペーンは組織内の特定の人物を標的にすることもあれば(スピアフィッシング)、攻撃者が少なくとも1人が詐欺メッセージに引っかかることを期待して何百ものメールをランダムなユーザーに送信することもあります。標的を絞らないフィッシング キャンペーンは成功率が低いですが、攻撃者が金銭的利益のために必要な情報を取得するのに、多くの成功メッセージは必要ありません。

フィッシングの2つの変種であるスミッシングとビッシングは、一般的なフィッシング キャンペーンと同じ目標を持ちますが、方法が異なります。スミッシング攻撃はテキストメッセージを使用して、標的ユーザーに賞品を獲得したことを伝え、贈り物を受け取るために配送料を支払う必要があると告げます。ビッシングは、攻撃者が正当な組織の誰かであるとユーザーを騙すために、声を変えるソフトウェアを必要とします。

ハッカーの何パーセントがソーシャルエンジニアリングを使用しますか?

ハッカーはソーシャル エンジニアリングが効果的であるため、頻繁に使用します。ソーシャル エンジニアリングとフィッシングは、ユーザーにお金を送金させたり、機密情報(ネットワーク認証情報や銀行情報など)を漏らすよう騙したりするためにより効果的な方法として、しばしば組み合わせて使用されます。実際、個人や企業が受け取るメールのほとんどはスパムや詐欺メールなので、メールシステムにサイバーセキュリティを統合することが重要です。

サイバー攻撃の91%はメールメッセージから始まると推定されています。それらの多くは緊急性を利用して、標的となる被害者がメッセージが詐欺であることを判断する時間を持たないようにします。攻撃の3%だけがマルウェアを使用し、残りの97%の攻撃はソーシャル エンジニアリングによるものです。一部の高度な攻撃では、標的となる被害者はメールを受け取り、その後フォローアップの電話やメッセージを受け取ります。

ソーシャルエンジニアリングは違法ですか?

ソーシャル エンジニアリングは、詐欺を使用して標的となる被害者に機密情報を漏らすよう騙すため、確かに犯罪です。典型的な余波として、プライベート ネットワークに不正にアクセスしたり、お金やユーザーの個人情報を盗んだり、さらにダークネット市場でプライベート データを販売したりするという形で追加の犯罪が発生します。

消費者詐欺はソーシャル エンジニアリング攻撃で一般的です。攻撃者は正当な組織になりすまして、金融データや少額の支払いと引き換えに賞金を提供します。標的となる被害者が金融データを提供すると、攻撃者は銀行口座から直接お金を盗んだり、ダークウェブ市場でクレジットカード番号を販売したりします。個人情報窃盗や標的となる被害者からのお金の窃取は深刻な犯罪です。

一部のソーシャルエンジニアリングは軽犯罪に分類され、罰金と短期間の懲役刑だけが課されます。より多額の金銭が関わる犯罪や複数の被害者を標的にする犯罪は、より重い刑罰とより多額の罰金を課されることがあります。一部の犯罪は民事訴訟につながり、通常、被害者は犯罪者やソーシャル エンジニアリング詐欺を支援した人々に対する判決で勝訴します。

ソーシャルエンジニアリングはどれほど一般的ですか?

状況によりますが、個人や企業に対する標的型攻撃の95~98%にソーシャル エンジニアリングが使用されていると推定されています。高特権アカウントは一般的な標的であり、IT運用内の管理者の43%がソーシャル エンジニアリング攻撃の標的となったと報告しています。IT運用内の新入社員はさらに標的になる可能性が高いです。企業によると、長期在籍している現スタッフよりも、新入社員の60%が標的となっています。

ソーシャル エンジニアリングが非常に成功しているため、フィッシングや個人情報窃盗に基づく攻撃は近年500%増加しました。個人情報窃盗だけが攻撃者の目標ではありません。ソーシャル エンジニアリングが主要な攻撃ベクトルである他のいくつかの理由には以下が含まれます。

  • データや金銭窃取のための不正アカウントアクセス
  • 銀行やクレジットカード アカウントへのアクセス
  • 単純な迷惑目的

ソーシャルエンジニアリングは倫理的ですか?

ソーシャル エンジニアリングは犯罪であるため、悪意のある脅威は個人や企業を標的にする際に倫理を考慮しません。誰もが攻撃者の標的となるため、個人も従業員もソーシャル エンジニアリングがどのように実行されるかを認識しておくべきです。攻撃者はソーシャル エンジニアリング キャンペーンを実行する前に標的を知り、偵察を行う必要があるため、ユーザーもソーシャル エンジニアリングの仕組みを理解しておくべきです。

ソーシャル エンジニアリングの標的になっていることを示す最初の警告サインは、発信者やメール送信者が質問に答えず、緊急の要求の理由を明確にするための質問を妨げている状況です。彼らの要求は微妙に見えるかもしれませんが、あなたの質問に答えることなく機密情報を求めます。正当な金融取引では、組織や銀行はあなたが納得できるまで、多くの質問に回答します。

もう一つの非倫理的な警告サインは、ほとんどの攻撃者が音声会話なしでフィッシングを使用することです。要求者との音声会話を求めると、攻撃者は拒否します。この警告サインは常に当てはまるわけではありませんが、メール送信者が正当な組織からのものではないことを示している可能性が高いです。どのようなシナリオでも、電話を切るかメール送信者との通信を停止し、会社のウェブサイトに記載されている電話番号に直接電話するべきです。

一部のソーシャル エンジニアリングは倫理的です。サイバーセキュリティのペネトレーションテストにホワイトハット ハッカーを雇うと、彼らはすべての従業員がソーシャル エンジニアリング攻撃を検出する能力をテストします。ペネトレーション テストでは、認定された倫理的ハッカーが従業員に電話をかけて、ネットワーク認証情報を漏らすかどうかを判断したり、悪意のあるウェブサイトにリンクするフィッシングメールを送信したりします。彼らはリンクをクリックするすべてのユーザーを記録し、プライベート ネットワーク認証情報を入力するユーザーに注目します。この活動は、組織がソーシャル エンジニアリングに脆弱な従業員を特定し、サイバーセキュリティ プロトコルに関するより多くの教育を提供するのに役立ちます。

ソーシャルエンジニアリング攻撃の被害はどれくらいですか?

FBIによると、ソーシャル エンジニアリングは世界中の組織に16億ドルの損失をもたらしています。組織はサイバーセキュリティ犯罪に対して年間平均1170万ドルを支払っています。

被害の重要な要素は、組織がデータ侵害を検出するのにかかる時間であり、平均146日です。ソーシャル エンジニアリング攻撃では、従業員が攻撃の被害者になった時を、管理者やサイバーセキュリティ インフラストラクチャが判断するのがはるかに難しくなります。正当なアクセス権を持つ従業員がソーシャル エンジニアリング キャンペーンに引っかかり、悪意のあるソフトウェアをインストールしたり、攻撃者に認証情報を提供したり、機密情報を漏らしたりすると、環境が攻撃者に対して脆弱になる可能性があります。

ソーシャルエンジニアリングに関する資料

ブログ

この1年で最も奇妙なソーシャルエンジニアリングの手口を一挙公開

ブログ

How Threat Actors Hijack Attention: The 2022 Social Engineering Report 

脅威レポート

2022 年ソーシャル エンジニアリング レポート(英語)

ブログ

Social Engineering Training: Essential Security Awareness Training Topic

See more resources

無料トライアル

まずは無料のトライアルをお試しください

無料トライアルのお申込み
Previous Glossary
Next Glossary