ソーシャルエンジニアリングとは？巧妙化する手口と企業を守る対策

ソーシャルエンジニアリングは、技術的な手段を用いずに人間の心理的な隙を突いて重要な情報を入手する手法です。近年、この手口が巧妙化し、中小企業がターゲットになるケースが増えています。本記事では、ソーシャルエンジニアリングの実態と、企業を守るための具体的な対策について解説します。

ソーシャルエンジニアリングとは？

ソーシャルエンジニアリングは、人間の心理を巧みに操る手法として知られています。技術的な攻撃とは異なり、人間の行動や判断の隙を突くため、対策が難しいのが特徴です。

ソーシャルエンジニアリングがどういったものか、また最近の中小企業をターゲットにしている情勢も含めて、見ていきましょう。

重要な情報を情報通信技術を使わずに盗む手法

ソーシャルエンジニアリングは、ハッキングやマルウェアなどの技術的な手段を使わずに、人間の心理を利用して機密情報を入手する手法です。

攻撃者は、信頼や権威、緊急性などの心理的要素を巧みに利用し、標的となる個人や組織から情報を引き出します。

例えば、取引先や上司を装ってメールを送り、急ぎの用件を装って機密情報の開示を求めるといった手口があります。このような攻撃は、技術的なセキュリティ対策を擦り抜けてしまうため、特に注意が必要です。

近年は中小企業がターゲットに

かつては大企業や政府機関が主なターゲットでしたが、近年では中小企業へのソーシャルエンジニアリング攻撃が増加しています。

その理由として、中小企業はセキュリティ対策が比較的脆弱であることが挙げられます。また、取引先や顧客の情報を保有していることも、攻撃者にとって魅力的な要因となっています。

中小企業は、大企業に比べてITリソースや専門知識が限られていることが多く、従業員のセキュリティ意識も十分でない場合があります。このような状況が、攻撃者にとって格好のターゲットとなっているのです。

巧妙化するソーシャルエンジニアリングの手口

ソーシャルエンジニアリングの手口は年々巧妙化しています。攻撃者は、さまざまな手法を組み合わせて、より信ぴょう性の高い攻撃を仕掛けてきます。

どのような手口があるのかを具体的に解説しますので、自社のセキュリティ対策の参考にしてみてください。

取引先や公的機関を装う

代表例として、取引先や公的機関を装った手口について紹介します。

攻撃者は、取引先や公的機関を装って信頼を得ようとします。例えば、実在する取引先の社名やロゴを使用したメールを送り、急ぎの支払いや情報提供を求めるケースがあります。

また、税務署や年金事務所などの公的機関を装い、個人情報の確認や更新を求めるフィッシングサイトに誘導することもあります。

これらの手口は、一見正当な要求に見えるため、気付きにくいのが特徴です。特に中小企業では、取引先との関係が密接であることが多く、このような攻撃にだまされやすい傾向があります。

SNSや電話を使って聞き出す

SNSや電話を利用した情報収集も、ソーシャルエンジニアリングの一般的な手法です。

攻撃者は、SNS上で標的となる個人や組織の情報を収集し、それを基に信頼関係を構築しようとします。

具体的には、SNS上で同じ業界の人物を装い、業務上の相談を持ちかけて機密情報を聞き出そうとするケースが挙げられます。

また、電話を使って緊急の用件を装い、パスワードやアクセス権限の確認を求めることもあります。これらの手法は、人間の親切心や緊急時の判断力低下を利用しており、特に注意が必要です。

スピアフィッシング

スピアフィッシングは、特定の個人や組織を狙った高度なフィッシング攻撃です。

攻撃者は、標的に関する詳細な情報を事前に収集し、非常に説得力のあるメールや電話を仕掛けてきます。

例えば、社内の人事異動情報や取引先との最近の商談内容などを盛り込んだメールを送り、添付ファイルを開かせたり、偽のログインページに誘導したりします。

このような攻撃は、一般的なフィッシングよりも成功率が高く、検出も難しいため、事前に情報共有を徹底するなどの対策が必須です。

ソーシャルエンジニアリングによる具体的な犯罪

ソーシャルエンジニアリングは、さまざまな形で具体的な犯罪に結び付いています。これらの犯罪は、企業に深刻な経済的損失や信用低下をもたらす可能性があります。

どのような犯罪に結び付くことがあるのかを、以下に具体的に解説します。

フィッシング詐欺

フィッシング詐欺は、ソーシャルエンジニアリングの代表的な手法の一つです。攻撃者は、信頼できる組織を装ったメールを送信し、偽のWebサイトに誘導して個人情報やログイン情報を盗み取ります。

実際にあったケースとしては、銀行やクレジットカード会社を装ったメールで、セキュリティ上の理由から情報の更新が必要だと伝え、偽サイトに誘導したという手口です。

中小企業では、従業員一人一人のセキュリティ意識が重要になるため、定期的な教育と訓練が欠かせません。

CEO（エグゼクティブ）詐欺

CEO詐欺は、企業の経営者や上級幹部を装って、財務担当者などに対して緊急の送金を指示する手法です。

攻撃者は、事前に標的企業の組織構造や取引先情報を入手し、非常に説得力のあるメールや電話を仕掛けてきます。

例えば海外出張中のCEOを装い、秘密裏に進行中のM&A案件の資金として緊急送金を求めるケースがあります。

この手口は、中小企業でも発生しており、決裁権限のある人物の不在時や、組織の意思決定プロセスが不明確な場合には特に危険です。

ベイティング

ベイティングは、好奇心や欲望を刺激する仕掛けを使って、標的をわなに誘い込む手法です。

例としては、企業の駐車場やオフィス周辺にUSBメモリを意図的に落としておき、拾った従業員がそれを社内のPCに挿入することでマルウェアに感染させる手口があります。

また、「会社の給与情報」や「人事異動リスト」といった興味を引くタイトルのファイルを添付したメールを送り、開封させることでマルウェアをインストールさせることもあります。

バイティング

バイティングは、有益なソフトウェアやアプリケーションになりすまして標的にダウンロードさせる手法です。トロイの木馬の感染経路としてもよく知られています。

一例としては、ブラウザ上で「最新のアップデートが必要です」や「システムに脆弱性が確認されました」といったポップアップを表示し、クリックさせるという手法がよく用いられます。

実際に存在するセキュリティソフトウェアのアップデート画面と類似していることも少なくなく、アップデート用のファイルをダウンロードしてしまうと、そのままマルウェアに感染するという手口です。

ダウンロード画面が本当に自分のOSのものかを確認するプロセスや、怪しいサイトはそもそも業務で使うサイトからはアクセスできないように制限することが対策として有効になります。

ソーシャルエンジニアリングによる被害例

ソーシャルエンジニアリングによる被害は、大企業から中小企業まで幅広く発生しています。これらの事例から、その手口の巧妙さと被害の深刻さを理解することができます。

JAL（日本航空）が3億8,000万円の被害

2017年12月、JALが同年夏にソーシャルエンジニアリング攻撃により、約3億8,000万円の被害を受けたことが明らかになりました。

支払先の担当者になりすました何者かが送付した偽の請求書に基づき、香港の銀行に開設された不正な銀行口座に振り込みを指示するという手口です。JALの担当者は、この偽の指示に従って送金先を変更してしまい、結果として多額の資金が攻撃者の口座に流出しました。

この事例は、大企業であっても、ソーシャルエンジニアリングの脅威に対して脆弱である可能性を示しています。特に、取引先との関係が重要な中小企業にとっては、こうした手口に対する警戒が必要不可欠です。

数百億の被害が出たCoincheck

2018年、仮想通貨取引所のCoincheckが、約580億円相当の仮想通貨NEMを不正に流出させる事件が発生しました。この事件では、従業員のPCがマルウェアに感染したことが原因とされています。

攻撃者は、ソーシャルエンジニアリングの手法を用いて、従業員を信じ込ませ、マルウェア入りの添付ファイルを開かせることに成功しました。

この事例は、仮想通貨取引という新しい分野でも、従来型のソーシャルエンジニアリング攻撃が有効であることを示しています。中小企業にとっても、新技術の導入時には特に注意が必要です。

ナイジェリアの手紙

「ナイジェリアの手紙」は、古典的なソーシャルエンジニアリングの手法として知られています。この詐欺では、被害者に対して宝くじの当選や多額の遺産などの大金が手に入るという嘘をつきます。

協力者には報酬として資金の一部を渡すと約束し、前払い金や個人情報の提供を求めます。そして、お金を渡してしまうとそのまま姿を消すという手口です。

古典的な手口だと思うかもしれませんが、実際に2016年にもこの実例が報告されています。

ソーシャルエンジニアリング対策

ソーシャルエンジニアリング攻撃から企業を守るためには、技術的対策と人的対策の両面からアプローチすることが重要です。以下に、効果的な対策をいくつか紹介します。

セキュリティマニュアルの策定

セキュリティマニュアルは、組織全体のセキュリティ対策の基礎となるものです。

マニュアルには、情報の取り扱い方法、パスワード管理のルール、不審なメールへの対応手順などを明確に記載します。

特に中小企業では、全従業員が理解しやすい簡潔な内容にすることが重要です。例えば、「取引先からの口座変更依頼は、必ず電話で確認する」「社外からの突然の問い合わせに対しては、上司に相談してから対応する」といった具体的なルールを設けることが効果的です。

また、マニュアルは定期的に見直し、新たな脅威に対応できるよう更新するルールも設けておくことで、最新の手口にも対応がしやすくなります。

セキュリティ対策ソフトの導入

技術的な対策として、セキュリティ対策ソフトの導入は不可欠です。

最新のアンチウイルスソフトやファイアウォールを導入し、常に最新の状態に保つことで、マルウェアの侵入やフィッシングサイトへのアクセスを防ぐことができます。

特に、メールフィルタリング機能は、フィッシングメールや不審な添付ファイルをブロックする上で非常に重要です。

また、多要素認証の導入も効果的です。パスワードが漏洩した場合でも、追加の認証手段があることで、不正アクセスを防ぐことができます。

中小企業では、コストを考慮しつつ、自社の規模やリスクに応じた適切なソリューションを選択することが重要です。

社員のセキュリティ意識の向上

技術的対策だけでなく、従業員のセキュリティ意識を高めることが極めて重要です。定期的なセキュリティ研修やeラーニングを実施し、最新の脅威や対策について学ぶ機会を設けましょう。

特に、ソーシャルエンジニアリングの手口や実際の被害事例を紹介することで、従業員の危機意識を高めることができます。

また、模擬フィッシングメールを送信するなどの実践的な訓練も効果的です。従業員が実際の攻撃に遭遇した際の対応力を養うことができます。

中小企業では、全従業員が参加しやすい形式で研修を行い、セキュリティを日常業務の一部として認識させることが大切です。

ソーシャルエンジニアリングから企業を守るために

ソーシャルエンジニアリングの脅威は今後も進化が続くため、企業は継続的な対策と従業員の意識向上を図る必要があります。まず、自社の情報資産とセキュリティ対策を評価し、弱点を特定して、リスクの大きさに応じた対策を優先的に実施することが重要です。

また、インシデント対応計画を事前に策定し、被害を最小限に抑えるために迅速な初動対応を行えるよう、定期的な見直しと訓練を行うべきです。さらに、取引先や業界団体との情報共有を通じて、業界全体のセキュリティレベルを向上させることが望まれます。

セキュリティ対策は「やりすぎ」ということはなく、最新の脅威に対応し続けることが企業の成長と信頼維持に不可欠です。中小企業もこれを経営課題として捉え、投資を継続して行うことが求められます。