ソーシャルエンジニアリングとは？

テクノロジーの発展が激しい近年、セキュリティの重要性が増すとともにセキュリティ技術も向上していっています。そんな中で技術の向上だけでは防げない一つの不正アクセスがあります。

それがソーシャルエンジニアリングです。今回はソーシャルエンジニアリングについて説明していきます。

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングとは不正アクセスに必要なメールアドレスやパスワード、ユーザーIDなどの情報を、情報通信技術を使わずに盗み出す方法のことです。

ソーシャルエンジニアリングの多くは、人のスキやミスなどを狙って行われるので、システムでの対策が限られています。

また、攻撃者は被害者の判断力を鈍らすように仕掛けてくるので、普段では被害に遭わないようなことでも判断力が欠けて被害に遭ってしまうなんてケースも多発しています。

ソーシャルエンジニアリングの種類

・ショルダーハッキング

覗き見のことです。これは会社の中でパスワードやクレジットカードの暗証番号を入力している際にディスプレイや指の動きなどで情報収集をする方法です。

近年ではリモートワークが広がりカフェやコワーキングスペースで仕事をする人も増えてきました。そのようなオープンな空間では誰が見ているかも分からず簡単に情報を盗まれてしまいます。赤の他人が多くいる場所ではより一層気をつける必要があります。

スマホやPCのロックを開ける際は指紋や顔認証などの生体認証を使うことでパスワードを入力する必要がなくなり、サービスにログインする際も自動入力を使用するとキーボードを打つ動作からパスワードを読み取られることもなくなります。

・電話でパスワードを聞き出す

昔からよくある代表的な手法で、サービスの運営者のふりをしてサービス利用者に電話をし、パスワードを聞き出すといった手口です。従業員にはパスワードは絶対に人に教えないように教育する必要があります。また、どのサービスも電話でパスワードを聞くようなことはないと周知しておくことも大切になります。

・トラッシング

トラッシングとは、ゴミを漁ってIDやパスワード、ネットワーク構成、サーバやルータの情報などを書かれた紙を見つけて、その情報を元に不正アクセスする方法です。

情報が載った紙を処分する際は、シュレッダーにかけたりして読解が不可能にすることが対策になります。

ソーシャルエンジニアリングの被害事例

2017年、JALはクライアントになりすました攻撃者からリース費用の振込先の変更メールが届き、その偽の振込先に3億8000万円もの大金を騙し取られました。

また、2018年には公立病院で医師を模倣した犯人が事務員に個人情報を訪ねて、研修医52人分の個人情報が漏洩したという事例も発生しています。

技術の発達とともにその発達した技術の悪用によって、ソーシャルエンジニアリングが複雑化しているのも現状です。

2019年にイギリスで、AIで声を合成してターゲットに電話をして、お金を振り込ませるという事件が発生しました。現在では話し声を１分間録音するだけで、この声を分析して模倣し、アクセントやイントネーションなどのその人の話し方の癖を真似することができるAIも誕生していて、ソーシャルエンジニアリングの手口が巧妙になってきています。

どうすればソーシャルエンジニアリングから身を守れるのか

ソーシャルエンジニアリングの対策として一番重要なのはやはり従業員の意識づけです。

ソーシャルエンジニアリングの被害に遭う原因の多くは、油断している時や相手が緊急性を強調していることで判断力が鈍らせる時などです。

普段から個人情報や機密情報の取り扱い方をしっかり教育し、自覚を持たせることが重要だと言えます。詐欺メールの見分け方や機密情報の処理の仕方など、しっかりとした教育とルールが必要になります。

また、社内のシステムやルールでも対策をすることはできます。被害を未然に防ぐ意味でも社内の入退出を記録し、相手に犯罪をするとバレるということを認識されることで、抑止力にもなります。詐欺メールや迷惑メールを判断するメールソフトを使えば、詐欺メールは勝手に別のフォルダに入れられて、従業員を騙すこともありません。

従業員自身の心構えとして、電話で個人情報を聞かれた時は、緊急性をアピールされても冷静に対応し、相手のペースに惑わされないように気をつけることで、ソーシャルエンジニアリングを未然に防ぐことができます。

まとめ

今回はソーシャルエンジニアリングについての説明をしました。

システムにいくら堅いセキュリティがあったとしても、人からその情報が流れていっては元も子もありません。

ソーシャルエンジニアリングの攻撃者は言葉巧みに、または悪知恵を働かせて攻撃を行うので、防ぐのが難しいのが現状です。

情報漏洩により失った信頼を取り戻すにはかなりの時間がかかります。

早い段階より従業員の教育をして、意識づけを行うことは欠かせません。

中小企業をがっつりサポート！

当社では

• RPA(ロボティック・プロセス・オートメーション)
• MA(マーケティング・オートメーション)
• HP制作・改修

など、企業のIT化のサポート・DX事業のサポートを行っています。

まずはお気軽にお問い合わせしてください。