ソーシャルエンジニアリング

信頼の理由

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングとは、人間の心理を利用したサイバー攻撃です。マルウェアなどを使わずに機密情報を盗み出し、人間の心理的な弱みを突いたアナログな攻撃を行うケースが大半です。

人間には「他人を助けたい」という根源的欲求があり、困っている人を見ると同情しがちです。また、権威のある人物から助言を貰うと、それに従ってしまいがちです。ソーシャルエンジニアリングでは、こうした人間心理の特徴を悪用し、ターゲットを攻撃します。

例えば攻撃者は、助けを求めるフリをして企業の受付やサポートスタッフに機密情報を開示させるよう仕向けたり、セキュリティシステムを無効にさせるよう促すことがあります。ソーシャルエンジニアリングは、1回限りの詐欺電話から、長期にわたって信頼を築き上げる戦略的な計画まで、様々です。

ソーシャルエンジニアリングの攻撃者は、クレジットカード情報の窃盗、ウイルスによる情報漏えい、マルウェアのインストール、リモートアクセスソフトウェアの導入、ランサムウェアによる金銭に脅迫など、様々な不正行為を行います。直接建物に侵入して、悪意のあるデバイスを密かに設置することもあります。

多くのサイバー攻撃がランダムに多数のターゲットを狙うのに対し、ソーシャルエンジニアリングは特定の個人や組織を狙い撃ちにします。人間の性質や行動パターンを利用するため、特に警戒が必要です。

ソーシャルエンジニアリングの種類と具体例

ソーシャルエンジニアリングは、どのように行われるのでしょうか?多くの場合、複数の攻撃を組み合わせて行われます。よく使われるソーシャルエンジニアリングの種類と具体例は、以下のとおりです。

情報収集

攻撃者は、ターゲットの情報を集めるために積極的に活動します。X(旧Twitter)やLinkedInなどのSNSを利用して、役立つ情報を探そうとします。SNSは便利ですが、公開されている個人情報が悪用されるリスクもあります。

例えば攻撃者は、ある幹部社員が「イベントに参加するためにオフィスを離れる」という情報を得るかもしれません。攻撃者はオフィスに電話をかけ、アシスタントと話します。攻撃者は、実際のイベント情報に基づいて話しているので、アシスタントは不審に思いません。さらに攻撃者が電話番号を偽装して、実際のイベントの電話番号からかけているように装えば、攻撃がさらに容易になります。

攻撃者は何らかの問題を持ち出し、解決のために助けを求めます。例えば「イベントを予約していただいてますが、支払い記録が見当たりません。もし10分以内にお支払いいただけなければ、イベントに参加できなくなってしまいます。よろしければ、予約に使ったクレジットカード情報を教えていただけますか?」などと、言葉巧みに機密情報を聞き出そうとします。

攻撃者は巧妙な話術とシナリオでターゲットの警戒心を解き、重要情報を引き出そうとするため、注意が必要です。

電話・メールによる攻撃

電話やメールを使った、遠隔攻撃も多いです。テクニカルサポートを利用したり、メッセージを偽装してターゲットを騙します。

新入社員になりすます

企業の新入社員を装ってテクニカルサポートチームに連絡し、不正なアクセスを試みます。

企業がSNSで、新入社員を歓迎することがあります。「新しいメンバーを歓迎します。〇〇さんは〇〇チームに加わります」といった投稿です。この投稿を手がかりに、攻撃者は新入社員になりすまし、企業のテクニカルサポートチームに連絡を取ります。

攻撃者は「自分は新入社員で、自宅からオフィスのシステムにアクセスできない」と電話します。新入社員はシステムに慣れておらず信ぴょう性もあるため、電話を受けたサポートスタッフは騙されます。さらに時間外であれば、他の社員に確認を取りにくいので、攻撃者にとってはさらに都合が良いでしょう。

攻撃者の目的は、テクニカルサポートの社員を説得してパスワードをリセットさせ、新しいパスワードを取得することです。うまくいけば攻撃者は、企業のシステムに不正にアクセスできます。攻撃者にとって比較的リスクが低く、成功率が高いため、よく使われる戦術の一つです。

社内調査チームになりすます

この戦略では、攻撃者がテクニカルサポートに連絡し、社内調査チームの一員だと名乗ります。機密性が高いトラブルを理由に、アカウントのロックやパスワード変更をさせるためです。

攻撃者は、業界で有名な人物や、会社のウェブサイトに載っている「調査チーム紹介ページ」から選んだ名前を出し、説得力を持たせます。「詳細はお話しできませんが、現在、社内の内部調査を行っています。外部の人間がアクセスできないようアカウントを直ちにロックし、新しいパスワードを設定する必要があります。アカウントの持ち主は現在、対応できません」といった内容を話します。

攻撃者はテクニカルサポートのスタッフを騙し、何か重要な機密に関わっていると感じさせます。スタッフは通常よりも警戒心を解き、攻撃者の要求に応じてしまうのです。この手法は、ターゲットに「特別な役割」や「緊急性」を感じさせることで効果を発揮します。

トラブルを演じる

トラブルを演じて、テクニカルサポートを騙すケースもあります。攻撃者はテクニカルサポートに連絡し「メールに関する技術的な問題を抱えている」「解決のために色々と試したが、うまくいかない」などと主張します。

攻撃者は問題解決のために、問題が起きている画面のスクリーンショットやファイルを送信しようとします。送られる添付ファイルには、マルウェアやスパイウェアが含まれています。

サポートスタッフがメールを受け取り、添付ファイルを開いた瞬間、マルウェアがシステムに侵入します。攻撃者は企業のネットワークにマルウェアをインストールすることに成功し、さらなる不正を行う足がかりを得ます。

この攻撃手法は、サポートスタッフがユーザーを助けようとする意志を利用し、その信頼を裏切る形でマルウェアを侵入させるものです。

テクニカルサポートになりすます

テクニカルサポートになりすまして、社内のスタッフに電話をかける手口もあります。攻撃者は会社受付に電話し、LinkedInなどで探した社員の名前を伝え、連絡を取ろうとします。繋がったら、自分たちをテクニカルサポートの担当者だと名乗るのです。

攻撃者は「ハードドライブの容量が、大量のデータでいっぱいになっている」と伝え、社員に確認を求めます。話を進め、最終的には「アカウントが侵害され、誰かが企業データを盗もうとしている」という結論を出します。

攻撃者は、緊急性を演出して社員にログアウトを促し、再度ログインするよう指示します。その過程で、ユーザー名とパスワードを聞き出すのです。最後は問題が解決したかのように振る舞い、社員に感謝の言葉を述べて終わります。

この手法の目的は、社員のログイン情報を盗むことです。攻撃者は企業のネットワークにアクセスできるようになり、さらなる不正行為を行える状態になります。「緊急性」と「協力の意志」を悪用するものです。

フィッシング攻撃

フィッシング攻撃とは、不正な方法で個人情報や機密情報を詐取するソーシャルエンジニアリングです。攻撃者は、信頼できる組織や個人を装ったメール・ウェブサイト・メッセージなどを使用してターゲットを騙し、パスワード・クレジットカード番号・銀行口座情報などの機密情報を盗み出します。

物理的な攻撃

もっと直接的な攻撃もあります。企業もオフィスに出向くことで、攻撃者はセキュリティを脅かすための様々なアクションを取ります。

リバースSSHトンネル

リバースSSHトンネルとは、外部の攻撃者が企業のネットワーク内部にリモートアクセスを確立するための技術です。ファイアウォールは外部からの不審な接続をブロックしますが、内部から外部への通信は比較的容易に許可します。この性質を悪用して、リバースSSHトンネルは実行されます。

リバースSSHトンネルが利用される流れは、以下の通りです。

  1. デバイスの準備:攻撃者は、安価なコンピューターデバイスを使用して、企業のネットワークに物理的に接続します。
  2. 送信接続の確立:デバイスは、攻撃者が所有する外部サーバーに対し、暗号化された送信接続(リバースSSHトンネル)を確立します。
  3. リモートアクセスの確立:一度接続が確立されると、攻撃者はリバースSSHトンネルを通じて、ネットワーク内のデバイスにリモートでアクセスします。
  4. 隠蔽:デバイスは大型プリンターの裏側など、目立たない場所に隠されます。プリンターは通常、ネットワークポイントと電源の両方を必要とします。プリンター周りは、デバイスを隠しやすい絶好の環境です。

攻撃者は企業のネットワーク内部に潜み、遠隔地からネットワークにアクセスすることが可能になります。ネットワークの監視やセキュリティ対策を回避して、長期間にわたる潜伏を可能にします。

USBメモリースティック

USBメモリースティックを使って、ネットワークにマルウェアを感染させるケースもあります。代表的な方法は、マルウェアを仕込んだUSBメモリースティックを、社内の人間がよく行く場所(コーヒーマシンの近くやトイレ、机の上など)に置いておくことです。USBにキーホルダーがついていると、誰かがそれを見つけた時に「忘れものかな?」と思い、持ち主を探すためにUSBをコンピューターに差し込みます。

USBには、PDFやWordドキュメントに見せかけて、マルウェアが含まれています。ファイルには「超長期計画フェーズ1」のような興味を引くタイトルがつけられており、クリックする可能性が高くなります。

攻撃者は、USBを挿入しただけでプログラムが自動実行されるように設定することもありますが、セキュリティ対策次第では自動実行が無効化される場合もあります。その場合、興味を引くファイル名がユーザーの自発的行動(ファイルをクリックして開かせる)キッカケになるのです。

建物への侵入

配達員や専門職を装い、オフィスビルの受付をすり抜ける手口もあります。郵便局の配達員、花やピザ、ドーナツの配達員、さらには害虫駆除業者や建設作業員、エレベーター整備技術者になりすます場合もあります。

攻撃者は、特定のスタッフの不在を事前に調査し、そのスタッフと会議があると受付に伝えます。受付がスタッフに連絡を取ろうとしても繋がらず、攻撃者は「彼は会議が長引くかもしれないと言っていました。食堂で待つように言われたのですが、どこにあるのか教えてもらえますか?」といった具合に、自然な会話を装います。

また、他の人について行って建物に入る手法もあります。攻撃者は屋外の喫煙所でスタッフと会話を始め、親しげに振る舞います。喫煙しているスタッフは攻撃者が社内の人間だと疑わず、一緒に建物内に入ります。スタッフがセキュリティコードを入力したり、キーカードを使ったりするのを利用して、一緒に建物内に侵入します。侵入した攻撃者は悪意のあるデバイスを設置したり、時にはゴミ箱を漁って機密情報を抜き取ることさえあります。

このタイプのソーシャルエンジニアリングでは、攻撃者は人の信頼や日常的習慣を利用してセキュリティを回避し、建物内に侵入します。無害に見える行動や人との自然な交流が、実は計画されたものかもしれない、ということを理解しておきましょう。

ショルダーハッキング

ショルダーハッキングは、より直接的な手法です。パソコンやスマートフォンを使っている人の背後から画面を覗き見て、パスワードなどの個人情報を盗み見る手口です。

ショルダーハッキングは、攻撃を行った痕跡が残らないため、気づくのが困難です。デバイスを利用する際は、自分の背後に注意し、情報が盗まれないよう気をつけましょう。

ソーシャルエンジニアリングの対策

ソーシャルエンジニアリングから身を守るための対策方法は、以下の通りです。

  • ロールプレイングとチームリハーサル:チームメンバーで訓練をしましょう。経験豊かなソーシャルエンジニアによる模擬攻撃のロールプレイに参加することが重要です。これにより、実際のソーシャルエンジニアリングへの備えができます。
  • セキュリティ会社の侵入テスト:専門のセキュリティ会社に侵入テストを依頼し、組織の防御体制を試してもらいましょう。攻撃が成功した場合、セキュリティの弱点を特定し、改善策を講じることができます。
  • USBデバイスのセキュリティ:USBデバイスの自動実行機能をオフにし、見知らぬUSBメモリーは使用しないようにしましょう。
  • セキュリティポリシーの見直し:通常とは異なるリクエストに対するポリシーを設定し、不審な要求に従わないようにしましょう。
  • ネットワークスキャンと新しいデバイスの識別:定期的にネットワークスキャンを行い、デバイスを検査しましょう。
  • ログイン認証情報の保護:ログイン情報は他人と共有しないようにし、他人に情報を求められた場合は詐欺とみなしましょう。多要素認証(MFA)を導入することも効果的です。
  • 電話の安全性向上:機密情報を求める電話には応じず、必要な場合は自らかけ直すことを徹底しましょう。
  • 訪問者への対応方法の見直し:外部の訪問者の動きを監視できる状態にし、施設内を自由に歩かせないようにしましょう。訪問者は受付で待機させ、必ず付き添いをつけることが重要です。

関連用語

マーシャル・ガンネル
IT & Cybersecurity Expert
マーシャル・ガンネル
IT・サイバーセキュリティ専門家

米ミシシッピ州出身のマーシャル・ガンネルは、10年以上の経験を持つITおよびサイバーセキュリティの専門家です。Techopediaに加えて、Business Insider、PCWorld、VGKAM…...